4 milhões de dólares em Ethereum roubados! Lavagem de dinheiro exposta na íntegra, mecanismo de múltiplas assinaturas comprometido

Unleash Protocol divulgou na terça-feira uma perda de 1.337 ETH, avaliada em 4 milhões de dólares. Peckshield e CertiK rastrearam que os hackers lavaram dinheiro através do Tornado Cash, enviando várias transações de 100 ETH para serviços de mistura. Os atacantes obtiveram controle não autorizado do sistema de governança multiassinatura, possivelmente por meio de engenharia social para executar atualizações de contrato não autorizadas, contornando verificações para retirar fundos.

Registo de rastreamento de lavagem de dinheiro com Tornado Cash

De acordo com atividades na blockchain e relatórios de várias empresas de segurança, os hackers estão tentando lavar dinheiro usando o protocolo Tornado Cash na Ethereum. Tornado Cash é um serviço de mistura de criptomoedas que, ao combinar fundos de múltiplos usuários, interrompe a ligação rastreável entre origem e destino dos fundos, dificultando que as autoridades rastreiem o fluxo de dinheiro.

Peckshield apontou que os atacantes parecem ter enviado muitos blocos de 100 ETH para este popular serviço de mistura de criptomoedas. Essa estratégia de transferências em lotes é típica de lavagem de dinheiro, pois transferir grandes somas de uma só vez é mais fácil de ser detectado pelos sistemas de monitoramento. Dividir 1.337 ETH em 13 a 14 transações de 100 ETH, com intervalos de tempo entre elas, reduz o risco de detecção imediata.

A CertiK começou a marcar saques suspeitos de Wrapped ETH e tokens IP, enviados para uma conta externa que parece ter sido configurada usando SafeProxyFactory. Esses detalhes técnicos revelam o nível de profissionalismo dos hackers; SafeProxyFactory é a fábrica de contratos do Gnosis Safe (agora Safe), usada para implantar novas carteiras multiassinatura. Os hackers criaram carteiras temporárias para receber fundos ilícitos, demonstrando profundo entendimento do ecossistema Ethereum.

Os ativos afetados incluem WIP, USDC, WETH, stIP e vIP, sendo que a maior parte foi bridgada para Ethereum e enviada ao Tornado Cash. O processo de ponte em si aumenta a dificuldade de rastreamento, pois os ativos passam por múltiplos contratos e endereços durante a transferência, diluindo as pistas de rastreamento. Uma vez no Tornado Cash, os fundos são misturados com depósitos de outros usuários, formando uma “caixa preta”, onde os fundos de saída não podem ser vinculados aos de entrada.

É importante notar que, desde que o Tornado Cash foi sancionado pelo Departamento do Tesouro dos EUA em 2022, o uso do serviço já constitui uma atividade ilegal. No entanto, as sanções não impediram totalmente seu funcionamento, pois Tornado Cash é um protocolo descentralizado baseado em contratos inteligentes, que não pode ser simplesmente fechado como um serviço centralizado. Os hackers estão dispostos a correr riscos legais ao usar Tornado Cash, demonstrando alta vigilância contra técnicas de rastreamento.

Como o sistema de governança multiassinatura foi comprometido

Na manhã de terça-feira, a Unleash revelou uma vulnerabilidade de segurança. O projeto foi suspenso e iniciou análise forense do ataque, que parece ter vindo da violação do mecanismo de múltiplas assinaturas. A Unleash escreveu no X: “Nossa investigação preliminar indica que um endereço externo obteve controle de gestão através da governança multiassinatura do Unleash, realizando uma atualização de contrato não autorizada.”

Em outras palavras, os atacantes obtiveram controle não autorizado do sistema de governança do Unleash Protocol, possivelmente por meio de engenharia social, phishing ou outras vulnerabilidades de segurança, permitindo que executassem atualizações que contornassem verificações normais e retirassem fundos dos usuários. Esse padrão de ataque não é incomum em DeFi, mas a quebra bem-sucedida do mecanismo multiassinatura gerou preocupação.

Carteiras multiassinatura (Multi-Signature Wallet) são o mecanismo mais comum de proteção de ativos em protocolos DeFi. Elas exigem múltiplas chaves privadas para assinar uma transação, teoricamente impedindo que um único comprometimento roube fundos. Contudo, este ataque demonstra que o mecanismo multiassinatura não é infalível.

Três possibilidades de falha no mecanismo multiassinatura

Engenharia social: hackers usam phishing ou mensagens falsas para enganar múltiplos signatários a revelar suas chaves privadas

Funcionários internos maliciosos: colaboradores com múltiplas chaves conspiram ou são subornados para cooperar com hackers

Vulnerabilidade no contrato: o contrato de multiassinatura possui bugs que permitem ao atacante contornar os requisitos de assinatura

A declaração da Unleash destacou que o controle foi obtido por um “endereço externo”, sugerindo que talvez não tenha sido uma ação interna, mas uma invasão por parte de atacantes externos por meio de técnicas técnicas ou engenharia social, adquirindo assim o suficiente de poder de assinatura. A atualização permitiu a retirada de fundos sem aprovação da equipe do Unleash, ocorrendo fora dos procedimentos normais de governança, indicando que os hackers obtiveram controle total da gestão.

Alerta de segurança na ecologia do Story Protocol

A Unleash afirmou: “O incidente decorreu do quadro de governança e permissões do protocolo Unleash”, acrescentando que “o impacto parece limitado aos contratos e controles de gestão específicos do Unleash”, e que “não há evidências de que os contratos do Story Protocol, validadores ou infraestrutura subjacente tenham sido comprometidos”. Essa declaração tenta limitar o escopo do dano ao próprio Unleash, evitando afetar toda a ecologia do Story Protocol.

Unleash é uma das várias aplicações construídas sobre o Story Protocol, uma plataforma Layer 1 relativamente nova, focada em tokenização de propriedade intelectual. A PIP Labs, por trás do Story, já levantou US$ 140 milhões de financiamento de investidores de topo. Se o incidente de lavagem de dinheiro gerar dúvidas sobre a segurança do ecossistema do Story Protocol, pode impactar outras aplicações baseadas nesse protocolo e a avaliação geral.

A equipe do Unleash alertou os usuários para não interagirem com o protocolo e prometeu compartilhar atualizações assim que informações confiáveis estiverem disponíveis, incluindo detalhes do ataque e possíveis remediações. A suspensão das operações é uma medida padrão para evitar que hackers explorem vulnerabilidades adicionais, mas também impede que usuários legítimos acessem seus ativos temporariamente.

De uma perspectiva mais ampla, esse episódio de lavagem de dinheiro mais uma vez expõe os riscos de governança em protocolos DeFi. Embora o mecanismo multiassinatura seja mais seguro que o de assinatura única, ainda depende de ações humanas, que são o elo mais vulnerável. Com o valor bloqueado em DeFi crescendo, ataques ao sistema de governança podem se tornar mais frequentes e sofisticados.