6,2 millones de dólares en fondos robados de SagaEVM rastreados hasta depósitos en Tornado Cash

Fuente: CryptoNewsNet Título original: Los $6.2M de fondos robados durante la explotación de SagaEVM han sido depositados en Tornado Cash Enlace original: $6.2 millones de los fondos robados durante la explotación de SagaEVM han sido rastreados hasta depósitos en Tornado Cash, un mezclador de privacidad en Ethereum que ayuda a ocultar las trazas de las transacciones.

La táctica es común entre hackers que intentan lavar cantidades considerables de fondos robados y hacer que la recuperación sea casi imposible.

La explotación que afectó a SagaEVM, descrita como una capa L1 para lanzar L1s, ocurrió el 21 de enero. Después del incidente, el equipo publicó que la capa L1 había sido pausada en el bloque 6593800 en respuesta a la explotación confirmada en el chainlet de SagaEVM.

Cómo los hackers lavaron los fondos robados

Según el informe de la firma de seguridad blockchain CertiK, los atacantes inicialmente distribuyeron los fondos en cinco billeteras separadas antes de canalizarlos hacia el mezclador de privacidad mediante múltiples transacciones.

“Se están tomando medidas de mitigación, y el equipo está completamente enfocado en una solución”, escribió el equipo en ese momento.

La explotación vio transferencias de casi $7,000,000 en USDC, yUSD, ETH y tBTC a la red principal de Ethereum. La billetera del explotador había sido identificada y alimentada a intercambios y puentes para bloquearla y posiblemente recuperar los fondos robados.

Según el informe de CertiK, $6.2 millones de esos fondos es lo que ahora ha sido dividido en depósitos alimentados en el mezclador Tornado Cash. Se espera que esto frustre los esfuerzos de remediación y recuperación.

El último depósito añade notoriedad a Tornado Cash, sumándose a un pasado marcado por sanciones de EE. UU. y problemas legales que aún afectan a sus desarrolladores.

Los atacantes siguen utilizándolo para ocultar sus rastros tras la explotación, y hace exactamente lo que fue diseñado para hacer: ayudarlos a desaparecer.

¿Qué pasó con SagaEVM?

Según un informe de post-mortem que el equipo compartió el 21 de enero, el incidente involucró una secuencia coordinada de despliegues de contratos, actividad entre cadenas y posteriores retiros de liquidez.

El documento reveló que el equipo pausó la cadena por precaución mientras investigaban y mitigaban activamente. Se reveló que el enfoque era detener más impactos manteniendo SagaEVM pausada mientras se implementaba la mitigación; validar toda la magnitud del daño usando datos de archivo y trazas de ejecución; y fortalecer los componentes relevantes antes de un reinicio.

Los componentes principales afectados por la explotación incluyen el chainlet SagaEVM, así como Colt y Mustang. Otros, como la red principal Saga SSC, el consenso del protocolo Saga, la seguridad de los validadores y otros chainlets de Saga, no se vieron afectados.

“No ha habido fallos de consenso, compromiso de validadores ni filtración de claves de firmantes”, decía el documento. “La red Saga en general sigue siendo estructuralmente sólida.”

El equipo afirmó que sus próximos pasos serían completar la validación de la causa raíz, parchear y fortalecer los componentes afectados de la cadena cruzada y de despliegue, coordinar con socios del ecosistema cuando sea relevante y publicar un informe técnico más completo post-mortem.

La vulnerabilidad se remonta a Cosmos

Tras recibir apoyo de ingenieros de Cosmos Labs, el equipo ha revelado que el problema se originó en la base de código original de Ethermint, convirtiéndolo en un problema heredado.

En respuesta a esa publicación, Cosmos Labs compartió un comunicado, admitiendo que están al tanto del incidente y afirmando que han estado trabajando estrechamente con Saga y socios externos de seguridad para investigar y remediar la “vulnerabilidad confirmada.”

Revelaron que contactaron a un subconjunto de cadenas EVM que consideraron afectadas por el incidente y proporcionaron mitigaciones a corto plazo.

“Como siempre, recomendamos a todos los proyectos que continúen implementando prácticas de seguridad básicas como limitación de tasa y monitoreo de seguridad para fortalecer la detección temprana y la mitigación,” escribieron.