Cripto Ladrão Canaliza $10M ETH Roubado para Tornado Cash

Acabei de assistir a um assalto fascinante a desenrolar-se na blockchain. Algum hacker inteligente transferiu $10 milhões em ETH para o Tornado Cash depois de realizar um dos golpes de phishing mais habilidosos de 2023. Este não foi um ataque aleatório - eles almejaram especificamente uma baleia cripto e fugiram com uma fortuna.

No dia 21 de março, a CertiK detectou 3.700 ETH ( cerca de $10M) a serem movimentados para o serviço de misturador. Esses fundos faziam parte de um saque maior de $24 milhões roubados em setembro passado. O que é surpreendente é quão simples e eficaz foi o ataque - a baleia caiu no truque mais antigo do livro: aprovar uma transação maliciosa.

A vítima clicou em "Aumentar Permissão" em uma transação, basicamente entregando ao atacante as chaves de seu reino cripto. Com essa única permissão, o ladrão poderia gastar os tokens ERC-20 da vítima à vontade. Erro clássico, consequências catastróficas.

O ataque aconteceu em duas ondas, primeiro roubando 9.579 stETH, depois retornando para pegar outros 4.851 rETH da mesma vítima. Falar sobre adicionar insulto à lesão! De acordo com a PeckShield, o atacante converteu tudo em 13.785 ETH e 1,64 milhões de DAI, espalhando-o por várias carteiras.

Honestamente, o estado da segurança neste espaço às vezes faz-me querer puxar os cabelos. Só em fevereiro, foram perdidos $47 milhões devido a golpes de phishing, com impressionantes 78% a acontecerem na Ethereum. Por que é que as pessoas continuam a cair nestes truques?

Mesmo projetos estabelecidos não estão imunes. Basta olhar para o Dolomite - o seu antigo contrato foi explorado por $1.8M de usuários que concederam permissões há anos e se esqueceram delas. Essas explorações de aprovação estão se tornando uma verdadeira praga.

Nem todos os ataques têm sucesso. A Layerswap conseguiu limitar os danos a "apenas" $100K quando o seu site foi comprometido. Eles estão reembolsando os usuários, o que é decente da parte deles, mas a prevenção teria sido melhor do que a cura.

A parte assustadora? Esses ataques continuam a ficar mais sofisticados enquanto exploram os mesmos erros humanos básicos. Se você está experimentando com criptomoedas, verifique três vezes cada aprovação que você concede. Esses pedidos de permissão inócuos podem ser o equivalente digital de entregar a alguém a sua carteira.

É precisamente por isso que a adoção mainstream continua a ser um desafio - um clique errado e as suas economias de vida desaparecem no Tornado Cash. O velho oeste das criptomoedas continua, e nem todos conseguem sair com o seu ouro.