CertiK upptäcker misstänkt plånboksintrång efter att medel gått via Tornado Cash

Blockkedjesäkerhetsföretaget CertiK har flaggat en misstänkt on-chain-incident som involverar förlusten av nästan 2,3 miljoner dollar i digitala tillgångar, efter att ha upptäckt ovanlig plånboksaktivitet via sina övervakningssystem.

Fallet identifierades med hjälp av CertiK:s Skylens-plattform, som spårar onormala fondrörelser och beteendemönster över publika blockkedjor.

Händelsen belyser hur intrång på plånboksnivå fortsätter att utgöra en stor risk i kryptoekosystemet.

Till skillnad från smarta kontraktsutnyttjanden bygger dessa attacker ofta på komprometterad åtkomst, vilket gör dem svårare att upptäcka tills medel redan har flyttats.

I detta fall visar blockkedjedata en koordinerad sekvens av överföringar följt av snabb tvätt, ett mönster som ofta förknippas med avsiktlig stöld.

Plånboksaktivitet utlöser varning

CertiK:s utredning fann att två separata plånböcker var inblandade i händelsen. En plånbok överförde ungefär 1,8 miljoner dollar, medan en andra plånbok skickade cirka 506 000 dollar.

Båda transaktionerna riktades till samma tidigare oidentifierade adress, som senare flaggades som skadlig baserat på dess aktivitet och beteende.

Övergångarna skedde inom ett kort fönster, vilket väckte omedelbara oro. Analys av transaktionsflödet antydde att rörelserna inte var en del av rutinmässig handel eller kapitalförvaltning.

Istället pekade mönstret på en förlust av plånbokskontroll, vilket stämmer överens med scenarier där privata nycklar eller signeringsbehörigheter har komprometterats.

Medel flyttades till Tornado Cash

Kort efter att ha mottagit pengarna började den skadliga adressen skicka tillgångarna via Tornado Cash, ett integritetsprotokoll utformat för att dölja transaktionshistorik.

Blockkedjeregister visar flera Ethereum-överföringar som passerat genom mixern, inklusive både mindre och större valörer som 10 ETH och 100 ETH.

Hastigheten och strukturen i dessa överföringar utmärkte sig. Pengarna delades upp i olika belopp och flyttades inom några minuter, vilket minskade spårbarheten och begränsade möjligheten till återvinning.

Sådan snabb tvätt är ofta kopplad till förplanerade attacker, där målet är att snabbt ta bort medel från allmänhetens synlighet.

On-chain-meddelanden antyder intrång

En ovanlig detalj framkom efter tvättverksamheten. Data granskade av CertiK visar att båda berörda plånböckerna skickade on-chain-meddelanden till mottagaradressen och frågade om förhandling var möjlig.

Dessa meddelanden dök upp efter att pengarna redan hade flyttats till Tornado Cash.

On-chain-kommunikation av detta slag ses sällan i legitima transaktioner. Dess närvaro tyder på att plånboksägarna reagerade efter att ha upptäckt förlusten, snarare än att medvetet delta i överföringarna.

Detta stöder ytterligare slutsatsen att plånböckerna komprometterades snarare än frivilligt användes för att skicka pengar.

Plånbokssäkerhet under press

Händelsen understryker det växande hotet från plånboksattacker på kryptomarknaden.

Även utan att utnyttja smarta kontrakt kan angripare tömma tillgångar genom nätfiskeförsök, illvilliga godkännanden eller läckta privata nycklar.

När medel väl har flyttats genom integritetsverktyg blir det betydligt svårare att spåra dem.

Även om vissa blockkedjeanalytiker nu övervakar och flaggar den skadliga adressen som är involverad, är utsikterna att återfå de stulna tillgångarna fortfarande osäkra.

Fallet bidrar till bredare oro kring användarsäkerhet, vilket förstärker behovet av starkare plånboksskydd och kontinuerlig övervakning i kedjan i takt med att attackmetoder blir mer sofistikerade.