CertiK markerer mistenkelig lommebokbrudd etter at midler har blitt sendt gjennom Tornado Cash

Blokkjede-sikkerhetsselskapet CertiK har flagget en mistenkelig on-chain-hendelse som involverer tapet av nesten 2,3 millioner dollar i digitale eiendeler, etter å ha oppdaget uvanlig lommebokaktivitet gjennom sine overvåkingssystemer.

Saken ble identifisert ved hjelp av CertiKs Skylens-plattform, som sporer unormale fondsbevegelser og atferdsmønstre på tvers av offentlige blokkjeder.

Hendelsen fremhever hvordan brudd på lommeboknivå fortsatt utgjør en stor risiko i kryptoøkosystemet.

I motsetning til smarte kontrakt-utnyttelser, baserer disse angrepene seg ofte på kompromittert tilgang, noe som gjør dem vanskeligere å oppdage før midler allerede er flyttet.

I dette tilfellet viser blokkjededata en koordinert sekvens av overføringer etterfulgt av rask hvitvasking, et mønster som ofte forbindes med bevisst tyveri.

Lommebokaktivitet utløser varsel

CertiKs etterforskning fant at to separate lommebøker var involvert i hendelsen. En lommebok overførte omtrent 1,8 millioner dollar, mens en annen overførte omtrent 506 000 dollar.

Begge transaksjonene ble sendt til samme tidligere uidentifiserte adresse, som senere ble merket som ondsinnet basert på aktivitet og oppførsel.

Overgangene skjedde i løpet av et kort vindu, noe som skapte umiddelbare bekymringer. Analyse av transaksjonsflyten antydet at bevegelsene ikke var en del av rutinemessig handel eller kapitalforvaltning.

I stedet pekte mønsteret på et tap av lommebokkontroll, i tråd med situasjoner der private nøkler eller signeringstillatelser har blitt kompromittert.

Midler ble flyttet inn i Tornado Cash

Kort tid etter mottak av midlene begynte den ondsinnede adressen å sende eiendelene gjennom Tornado Cash, en personvernprotokoll designet for å skjule transaksjonshistorikk.

Blokkjede-opptegnelser viser flere Ethereum-overføringer som passerer gjennom mikseren, inkludert både mindre og større valører som 10 ETH og 100 ETH.

Hastigheten og strukturen på disse overføringene skilte seg ut. Midler ble delt opp i ulike beløp og flyttet seg i løpet av minutter, noe som reduserte sporbarheten og begrenset muligheten for inndrivelse.

Slik rask hvitvasking er ofte forbundet med forhåndsplanlagte angrep, hvor målet er å fjerne midler fra offentlig synlighet så raskt som mulig.

On-chain-meldinger antyder brudd

En uvanlig detalj dukket opp etter hvitvaskingen. Data gjennomgått av CertiK indikerer at begge berørte lommebøker sendte on-chain-meldinger til mottakeradressen og spurte om forhandling var mulig.

Disse meldingene dukket opp etter at midlene allerede var flyttet inn i Tornado Cash.

On-chain kommunikasjon av denne typen sees sjelden i legitime transaksjoner. Dens tilstedeværelse tyder på at lommebokeierne reagerte etter å ha oppdaget tapet, i stedet for å delta bevisst i overføringene.

Dette støtter ytterligere konklusjonen om at lommebøkene ble kompromittert og ikke frivillig brukt til å sende penger.

Lommeboksikkerhet under press

Hendelsen understreker den økende trusselen fra lommebokangrep i kryptomarkedet.

Selv uten å utnytte smarte kontrakter kan angripere tømme eiendeler ved hjelp av phishing-forsøk, ondsinnede godkjenninger eller lekkede private nøkler.

Når midler flyttes gjennom personvernverktøy, blir det betydelig vanskeligere å spore dem.

Selv om noen blokkjedeanalytikere nå overvåker og flagger den ondsinnede adressen som er involvert, er utsiktene for å få tilbake de stjålne eiendelene fortsatt usikre.

Saken bidrar til bredere bekymringer rundt brukersikkerhet, og forsterker behovet for sterkere lommebokbeskyttelse og kontinuerlig overvåking på lenken etter hvert som angrepsmetodene blir mer sofistikerte.