Atacante Sifona $10 Milhões em Criptomoedas Após Ataque de Phishing na Conta de uma Baleia

Num incidente de segurança significativo datado de setembro de 2023, um investidor em criptomoedas foi vítima de um ataque de phishing sofisticado que lhe custou, no final, 24 milhões de dólares em ativos em staking. Mais notavelmente, os atacantes conseguiram desviar 10 milhões de dólares em Ethereum para Tornado Cash, um serviço de mistura de criptomoedas comumente usado para obscurecer a origem dos fundos. Este incidente destaca a crescente sofisticação das ameaças cibernéticas direcionadas a investidores em crypto e as vulnerabilidades críticas na forma como os utilizadores interagem com contratos inteligentes.

A violação começou quando a vítima autorizou inadvertidamente uma transação de token que parecia rotineira. Através de uma técnica conhecida como “Increase Allowance”, o atacante obteve acesso programático às holdings de crypto do investidor. Empresas de segurança blockchain, incluindo a CertiK, identificaram a conta comprometida em 21 de março, revelando que aproximadamente 3.700 ETH tinham sido desviados para Tornado Cash—parte de uma perda total de 24 milhões de dólares que incluiu tanto stETH do serviço de staking líquido da Rocket Pool quanto tokens rETH. Com o ETH a cerca de 2.98 mil dólares na altura, isso representou uma perda de capital enorme para a vítima.

Como as Aprovações de Token se Tornaram uma Arma Contra Usuários de Crypto

O ataque explorou uma característica fundamental do padrão de token ERC-20 do Ethereum. Quando os utilizadores interagem com aplicações descentralizadas, frequentemente concedem aos contratos inteligentes permissão para mover os seus tokens—uma funcionalidade de conveniência que se tornou um alvo principal para atacantes. Segundo especialistas em deteção de fraudes na Scam Sniffer, a vítima aprovou inadvertidamente direitos de gasto através do mecanismo de allowance do token, entregando efetivamente ao atacante uma chave para o seu tesouro de crypto.

Esta técnica não é nova, mas a sua prevalência é alarmante. A análise da PeckShield mostrou que o atacante converteu os ativos roubados em aproximadamente 13.785 ETH e 1,64 milhões de DAI (cada um avaliado em cerca de 1,00 dólar ao câmbio atual). Enquanto alguns dos DAI foram transferidos para a exchange FixedFload, a maior parte dos fundos roubados passou por múltiplas carteiras desenhadas para obscurecer a trilha.

A Ligação ao Tornado Cash: Lavagem de Crypto Roubada

Tornado Cash serve como uma peça crítica na infraestrutura criminosa. Ao depositar criptomoedas neste serviço de mistura, os atacantes quebram a transparência da blockchain—uma vantagem chave que as criptomoedas deveriam eliminar. A transferência de 10 milhões de dólares para Tornado Cash representa a tentativa do atacante de se separar do roubo rastreável e de sacar ou mover os fundos roubados sem detecção.

Um Padrão de Aumentos nas Perdas: Phishing de 47 Milhões de Dólares em Fevereiro

O incidente de setembro de 2023 não foi um evento isolado. O relatório abrangente da Scam Sniffer revelou que quase 47 milhões de dólares foram perdidos em fraudes relacionadas a phishing apenas em fevereiro. De forma perturbadora, 78% desses roubos ocorreram na rede Ethereum, com tokens ERC-20 representando 86% de todos os ativos roubados. Estes dados evidenciam uma realidade preocupante: apesar de anos de alertas de segurança, os investidores continuam a perder somas astronómicas através de técnicas de exploração relativamente simples.

Incidentes recentes demonstram ainda mais o alcance desta vulnerabilidade. Em 20 de março, atores maliciosos exploraram um contrato desatualizado da exchange Dolomite para drenar 1,8 milhões de dólares de utilizadores que anteriormente tinham concedido permissões de token a esse contrato. Os desenvolvedores da Dolomite aconselharam urgentemente os utilizadores a revogar todas as permissões concedidas ao endereço do contrato antigo, uma medida reativa que chegou tarde demais para fundos já comprometidos.

Quando as Respostas de Segurança Funcionam: O Estudo de Caso Layerswap

Nem toda violação de segurança em crypto resulta na perda total de ativos. No mesmo dia em que a Dolomite foi explorada, a equipa do Layerswap conseguiu conter um ataque ao seu website após detectar acesso não autorizado. Apesar de a sua resposta rápida ter evitado um desastre completo, os atacantes ainda conseguiram desviar aproximadamente 100.000 dólares de cerca de 50 utilizadores antes de a brecha ser contida. A Layerswap comprometeu-se a reembolsar os utilizadores afetados e a fornecer compensações adicionais—uma raridade no ecossistema de crypto muitas vezes implacável.

A Conclusão: Por que os Atacantes Focam em Phishing e Aprovações de Token

A persistência dos ataques de phishing em criptomoedas advém da sua eficácia e simplicidade relativa. Ao contrário de exploits complexos de contratos inteligentes que requerem conhecimentos técnicos avançados, os esquemas de aprovação de tokens aproveitam a engenharia social e a negligência do utilizador. Cada ativo roubado—seja 10 milhões de dólares desviados para Tornado Cash ou quantias menores drenadas através de contratos comprometidos—representa uma falha tanto na consciência do utilizador quanto na infraestrutura de segurança mais ampla.

Para os participantes de crypto, as lições são cruciais. Vigilância significa examinar cuidadosamente cada aprovação de contrato, entender que permissões está a conceder e auditar regularmente as aprovações ativas em plataformas como Etherscan. Para a indústria, é necessário desenvolver ferramentas de deteção melhores, sistemas de aviso mais claros e iniciativas educativas que ajudem os utilizadores a reconhecer tentativas de phishing antes de autorizarem transações maliciosas. Até que estas medidas se tornem práticas padrão, os atacantes continuarão a desviar milhões em crypto através de phishing e exploração de aprovações de tokens.