Investigation reveals tornado cash laundering links in $282 million crypto wallet hack

Trabalho forense recente sobre o hack de $282 milhões de carteiras revelou uma atividade extensa de lavagem de dinheiro através do Tornado Cash que continuou bem após o roubo inicial.

CertiK liga fluxos de mixer ao comprometimento de carteira de $282 milhões

A empresa de segurança blockchain CertiK rastreou $63 milhões em fluxos de Tornado Cash até a violação de carteira de criptomoedas de 10 de janeiro, que esvaziou $282 milhões. A equipe identificou nova atividade de lavagem e confirmou movimentos recentes de fundos ligados ao compromisso original. Além disso, a nova ligação amplia significativamente a linha do tempo conhecida de atividade após o roubo.

De acordo com a CertiK, o atacante encaminhou ativos roubados por várias blockchains antes de enviá-los através do protocolo de privacidade. A empresa detectou transferências estruturadas que moveram Ether (ETH) através de uma sequência de endereços antes de depósitos no Tornado Cash. Essa padrão, no entanto, espelhou de perto os métodos de lavagem vistos em roubos de criptomoedas de grande escala anteriores.

Movimentos entre cadeias e transferências em lotes estruturados

A investigação descobriu que uma parte substancial do Bitcoin roubado (BTC) foi inicialmente bridged para Ethereum e depois convertida em ETH. A CertiK destacou um endereço receptor que acumulou 19.600 ETH após essa operação de ponte entre cadeias. No entanto, esses fundos foram rapidamente fragmentados em tranches menores, depois movidos novamente, antes de serem enviados ao Tornado Cash.

O valor de $63 milhão reflete apenas uma parte do valor total roubado, mas ilustra o método metódico da operação. Analistas observaram transferências em lotes repetidas, deliberadamente planejadas para reduzir a análise na cadeia e prolongar a cadeia de lavagem. Além disso, o uso constante e faseado do Tornado Cash enfatizou a intenção sustentada do atacante de dificultar qualquer rastreamento de violação de carteira de criptomoedas.

Especialistas notaram que esses padrões de lavagem por transferências em lotes estão se tornando cada vez mais comuns em roubos sofisticados. O atacante transferiu fundos repetidamente por novos endereços e entre cadeias, usando intervalos de tempo e quantidades variadas para evitar agrupamentos óbvios. Consequentemente, cada salto adicional antes do mixer enfraquece ainda mais a atribuição direta à carteira hackeada original.

Limitações do rastreamento após os fundos entrarem no Tornado Cash

Equipes de segurança de criptomoedas enfatizaram que os depósitos no Tornado Cash reduzem drasticamente as chances de recuperação de fundos após a conclusão dos ciclos de mistura. Os mixers quebram os vínculos visíveis entre os endereços de envio e recebimento, prejudicando as análises convencionais na cadeia. Da mesma forma, rastrear o conjunto completo de saídas torna-se muito mais difícil após os fundos saírem do pool.

O incidente de 10 de janeiro seguiu o mesmo padrão, com saltos adicionais de carteira executados pouco antes de cada depósito no mixer. Os investigadores confirmaram que esses saltos de última hora criaram uma distância extra da carteira de origem. Além disso, o momento em que os fundos cruzaram para o Tornado Cash marcou uma barreira decisiva para a maioria dos esforços de rastreamento subsequentes.

Empresas de segurança também relataram opções de mitigação muito limitadas após o início das etapas de lavagem do Tornado Cash. Algumas plataformas centralizadas conseguiram sinalizar e congelar pequenos fragmentos que tocaram seus serviços. No entanto, esses bloqueios cobriram apenas uma fração menor do volume total, e a maior parte dos ativos foi movida além do alcance durante as fases iniciais do mixer.

Ataque de engenharia social que desencadeou o comprometimento completo da carteira

Verificações de antecedentes sobre a violação revelaram que a operação começou com um comprometimento de carteira por engenharia social direcionada. O atacante se passou por suporte legítimo e convenceu a vítima a revelar uma frase semente crítica que garantia o acesso à carteira. Como resultado, o intruso obteve controle direto sobre reservas significativas de Bitcoin e Litecoin (LTC) mantidas na conta comprometida.

A carteira continha mais de 1.459 BTC e mais de 2 milhões de LTC antes do roubo, de acordo com a reconstrução da CertiK. Partes dessas reservas foram convertidas em outros ativos digitais durante as fases iniciais do processo de lavagem. Além disso, partes dos fundos foram transferidas entre várias redes, empregando táticas de lavagem entre cadeias antes das transferências finais para o mixer Tornado Cash.

Analistas de segurança continuam monitorando novos movimentos de quaisquer endereços ligados ao hack, embora agora antecipem apenas avanços incrementais. O uso repetido do protocolo Tornado Cash reforça um plano deliberado de apagar rastros de transações e explorar o design do mixer. No geral, o caso ilustra como engenharia social coordenada, transferências entre cadeias e depósitos no mixer podem limitar severamente as perspectivas de recuperação em grandes roubos de criptomoedas.