CertiK zgłasza podejrzane naruszenie portfela po przekierowaniu środków przez Tornado Cash

Firma zajmująca się bezpieczeństwem blockchain CertiK zgłosiła podejrzany incydent on-chain związany z utratą prawie 2,3 miliona dolarów cyfrowych aktywów, po wykryciu nietypowej aktywności portfela za pomocą systemów monitorowania.

Sprawa została zidentyfikowana za pomocą platformy Skylens firmy CertiK, która śledzi nieprawidłowe ruchy funduszy i wzorce zachowań na publicznych blockchainach.

Incydent ten podkreśla, jak naruszenia na poziomie portfela nadal stanowią poważne zagrożenie w ekosystemie kryptowalut.

W przeciwieństwie do exploitów smart kontraktów, te ataki często opierają się na naruszonym dostępie, co utrudnia ich wykrycie, dopóki środki nie zostaną już przeniesione.

W tym przypadku dane blockchain pokazują skoordynowaną sekwencję transferów, po której następuje szybkie pranie, wzorzec często kojarzony z celową kradzieżą.

Aktywność portfela wywołuje alert

Śledztwo CertiK wykazało , że w incydencie brały udział dwa oddzielne portfele. Jeden portfel przelał około 1,8 miliona dolarów, a drugi portfel około 506 000 dolarów.

Obie transakcje były kierowane na ten sam wcześniej niezidentyfikowany adres, który później został oznaczony jako złośliwy na podstawie swojej aktywności i zachowania.

Transfery nastąpiły w krótkim czasie, co budziło natychmiastowe obawy. Analiza przepływu transakcji sugerowała, że ruchy te nie były częścią rutynowego handlu ani zarządzania aktywami.

Zamiast tego wzorzec wskazywał na utratę kontroli nad portfelem, co jest zgodne z sytuacjami, gdy naruszono prywatne klucze lub uprawnienia do podpisu.

Środki przeniesione do Tornado Cash

Wkrótce po otrzymaniu środków złośliwy adres zaczął przekierowywać aktywa przez Tornado Cash, protokół prywatności mający na celu ukrywanie historii transakcji.

Dane blockchainowe pokazują, że przez mikser przechodzi wiele transferów Ethereum, w tym zarówno mniejsze, jak i większe nominały, takie jak 10 ETH i 100 ETH.

Szybkość i struktura tych transferów wyróżniały się. Środki były dzielone na różne kwoty i przesuwane w ciągu kilku minut, co ograniczało możliwość śledzenia i ograniczenie możliwości odzyskania.

Takie szybkie pranie często wiąże się z wcześniej zaplanowanymi atakami, których celem jest jak najszybsze usunięcie środków z widoczności publicznej.

Wiadomości on-chain sugerują naruszenie

Po praniu wyszedł na jaw nietypowy szczegół. Dane przeanalizowane przez CertiK wskazują, że oba zakażone portfele wysyłały wiadomości on-chain na adres odbiorcy, pytając, czy negocjacje są możliwe.

Wiadomości te pojawiły się po tym, jak środki zostały już przelane do Tornado Cash.

Komunikacja on-chain tego typu rzadko występuje w legalnych transakcjach. Obecność portfela sugeruje, że właściciele portfela reagowali po odkryciu straty, zamiast świadomie uczestniczyć w transferach.

To dodatkowo potwierdza wniosek, że portfele zostały przejęte, a nie dobrowolnie użyte do przesyłania środków.

Bezpieczeństwo portfela pod presją

Incydent podkreśla rosnące zagrożenie ze strony ataków na poziomie portfela na rynku kryptowalut.

Nawet bez wykorzystywania smart kontraktów atakujący mogą wyczerpywać zasoby poprzez próby phishingu, złośliwe zatwierdzenia lub wyciek kluczy prywatnych.

Gdy środki są przesuwane przez narzędzia do prywatności, ich śledzenie staje się znacznie trudniejsze.

Podczas gdy niektórzy analitycy blockchain monitorują i oznaczają złośliwy adres, perspektywy odzyskania skradzionych aktywów pozostają niepewne.

Sprawa ta potęguje szersze obawy dotyczące bezpieczeństwa użytkowników, podkreślając potrzebę silniejszych zabezpieczeń portfeli i ciągłego monitorowania on-chain, gdy metody ataku stają się coraz bardziej zaawansowane.