CertiK sinaliza violação suspeita de carteira após fundos desviados pelo Tornado Cash

A empresa de segurança em blockchain CertiK sinalizou um incidente suspeito on-chain envolvendo a perda de quase US$ 2,3 milhões em ativos digitais, após detectar atividades incomuns em carteiras por meio de seus sistemas de monitoramento.

O caso foi identificado usando a plataforma Skylens da CertiK, que monitora movimentos anormais de fundos e padrões comportamentais em blockchains públicas.

O incidente destaca como violações em carteiras continuam representando um grande risco no ecossistema cripto.

Diferente dos exploits de contratos inteligentes, esses ataques frequentemente dependem de acesso comprometido, tornando-os mais difíceis de detectar até que os fundos já tenham sido movimentados.

Neste caso, os dados do blockchain mostram uma sequência coordenada de transferências seguida de lavagem rápida, um padrão comumente associado a roubo deliberado.

Atividade na carteira ativa alerta

A investigação de CertiK descobriu que duas carteiras separadas estiveram envolvidas no incidente. Uma carteira transferiu cerca de 1,8 milhão de dólares, enquanto uma segunda carteira enviou cerca de 506.000 dólares.

Ambas as transações foram direcionadas para o mesmo endereço anteriormente não identificado, que posteriormente foi sinalizado como malicioso com base em sua atividade e comportamento.

As transferências ocorreram em um curto período, levantando preocupações imediatas. A análise do fluxo de transações sugeriu que os movimentos não faziam parte da negociação rotineira ou da gestão de ativos.

Em vez disso, o padrão apontou para uma perda de controle da carteira, consistente com cenários em que chaves privadas ou permissões de assinatura foram comprometidas.

Fundos transferidos para o Tornado Cash

Logo após receber os fundos, o endereço malicioso começou a rotear os ativos pelo Tornado Cash, um protocolo de privacidade projetado para obscurecer o histórico de transações.

Registros de blockchain mostram múltiplas transferências Ethereum passando pelo mixer, incluindo denominações menores e maiores, como 10 ETH e 100 ETH.

A rapidez e a estrutura dessas transferências se destacaram. Os fundos foram divididos em diferentes valores e transferidos em minutos, reduzindo a rastreabilidade e limitando a possibilidade de recuperação.

Essa lavagem rápida é frequentemente associada a ataques pré-planejados, cujo objetivo é remover fundos da visibilidade pública o mais rápido possível.

Mensagens on-chain sugerem violação

Um detalhe incomum surgiu após a atividade de lavagem de roupa. Dados revisados pela CertiK indicam que ambas as carteiras afetadas enviaram mensagens on-chain para o endereço receptor, perguntando se a negociação era possível.

Essas mensagens apareceram depois que os fundos já haviam sido transferidos para o Tornado Cash.

Comunicação on-chain desse tipo raramente é vista em transações legítimas. Sua presença sugere que os donos da carteira reagiram após descobrirem a perda, em vez de participarem conscientemente das transferências.

Isso reforça ainda mais a conclusão de que as carteiras foram comprometidas, e não usadas voluntariamente para enviar fundos.

Segurança da carteira sob pressão

O incidente ressalta a crescente ameaça representada por ataques em nível de carteira no mercado cripto.

Mesmo sem explorar contratos inteligentes, os atacantes podem drenar ativos por meio de tentativas de phishing, aprovações maliciosas ou chaves privadas vazadas.

Uma vez que os fundos são transferidos por meio de ferramentas de privacidade, rastreá-los se torna significativamente mais difícil.

Embora alguns analistas de blockchain estejam agora monitorando e sinalizando o endereço malicioso envolvido, as chances de recuperar os ativos roubados permanecem incertas.

O caso contribui para preocupações mais amplas em relação à segurança do usuário, reforçando a necessidade de proteções mais fortes nas carteiras e monitoramento contínuo on-chain à medida que os métodos de ataque se tornam mais sofisticados.