L'hack di Balancer rivela mesi di pianificazione dietro una rapina di criptovalute da 116 milioni di dollari

La traccia onchain lasciata dall'exploiter dietro l'hack da 116 milioni di dollari di Balancer ha rivelato un'operazione metodica e di alto livello che potrebbe essere in corso da mesi.

L'aggressore ha eseguito ogni passaggio con precisione chirurgica, utilizzando più depositi di Tornado Cash di 0,1 Ether per mascherare l'origine dei fondi ed evitare l'identificazione.

I dati onchain indicano mesi di pianificazione, finanziati attraverso trasferimenti di denaro Tornado furtivi.

Gli analisti della sicurezza suggeriscono che la portata della violazione e la disciplina operativa dell'aggressore riflettono una crescente sofisticazione negli exploit della finanza decentralizzata (DeFi), che assomigliano sempre più a campagne informatiche sponsorizzate dallo stato nella pianificazione e nell'esecuzione.

Il modello stealth punta a una configurazione a lungo termine

Balancer, l'exchange decentralizzato e market maker automatizzato, ha confermato l'exploit lunedì, riportando una perdita di circa 116 milioni di dollari in vari asset digitali.

L'account dell'aggressore ha ricevuto fondi attraverso uno schema di piccoli depositi da Tornado Cash, un protocollo sulla privacy spesso utilizzato per oscurare l'origine dei fondi.

L'analista blockchain Conor Grogan ha dichiarato in un post su X che l'account dell'exploiter è stato inizialmente finanziato con 100 Ether già detenuti all'interno di Tornado Cash, suggerendo che l'individuo potrebbe essere stato coinvolto in precedenti hack.

Grogan ha notato che gli utenti raramente memorizzano somme così grandi nei mixer, sottolineando l'esperienza dell'aggressore e un'attenta pianificazione.

Balancer ha offerto all'hacker una ricompensa white hat del 20% se i fondi verranno restituiti per intero, esclusa la ricompensa, entro mercoledì.

La piattaforma ha affermato che sta collaborando con i ricercatori di sicurezza per produrre un'autopsia dettagliata dell'incidente.

Gli analisti lo definiscono un complesso exploit DeFi

Secondo la società di sicurezza blockchain Cyvers, l'exploit Balancer rappresenta uno degli attacchi più complessi visti quest'anno.

Gli aggressori sono riusciti a bypassare i livelli di controllo degli accessi e a manipolare direttamente i saldi degli asset, esponendo una debolezza critica nella governance piuttosto che nella logica di base degli smart contract di Balancer.

Deddy Lavid, co-fondatore e amministratore delegato di Cyvers, ha affermato che l'evento sottolinea i limiti degli audit statici del codice.

Ha sostenuto che il monitoraggio continuo in tempo reale delle transazioni è essenziale per rilevare anomalie prima che i fondi vengano prosciugati.

Gli esperti del settore ritengono che questo passaggio alla sorveglianza persistente sia ora inevitabile, poiché le piattaforme DeFi devono affrontare aggressori che testano le difese con mesi di anticipo.

Parallelismi con l'attività del Gruppo Lazarus

La violazione del Balancer ha attirato paragoni con il gruppo nordcoreano Lazarus, i cui modelli di attività mostrano livelli di preparazione simili.

I dati di Chainalysis indicano che le transazioni illecite legate agli hacker nordcoreani sono diminuite drasticamente dopo luglio 2024, dopo un'impennata all'inizio di quell'anno. Gli analisti hanno interpretato la tregua come una pausa strategica per riorganizzarsi e identificare nuovi obiettivi.

Il rallentamento ha preceduto l'hack di Bybit da 1,4 miliardi di dollari, che ha impiegato solo 10 giorni per essere riciclato attraverso il protocollo cross-chain decentralizzato THORChain.

La velocità e il coordinamento di tale operazione suggeriscono l'uso di sofisticate automazioni e condutture di lavaggio pre-pianificate, tecniche che ora appaiono in exploit indipendenti come il caso Balancer.

La DeFi affronta una crescente minaccia alla sicurezza

L'hack di Balancer riflette un'era emergente di furti informatici professionalizzati nella finanza decentralizzata.

A differenza dei rug pull opportunistici o delle truffe di phishing, gli exploit moderni si basano sempre più su catene di finanziamento disciplinate, offuscamento automatizzato e vettori di attacco che prendono di mira i meccanismi di governance piuttosto che i difetti tecnici.

Gli investigatori ritengono che l'incidente di Balancer dimostri come gli aggressori si stiano evolvendo più velocemente degli attuali modelli di sicurezza della DeFi.

Con l'espansione del settore, gli esperti avvertono che la distinzione tra sindacati criminali e hacker legati allo stato si sta assottigliando, con entrambi i gruppi che condividono strumenti, infrastrutture e tattiche.

L'indagine di Balancer continua, con il progetto che esorta gli exchange e i fornitori di wallet a monitorare gli afflussi sospetti.

Il risultato potrebbe influenzare il modo in cui l'industria DeFi ripenserà i framework di sicurezza, gli audit e i meccanismi assicurativi per gli anni a venire.