Wang Chun também foi vítima: uma "taxa de matrícula" de 50 milhões de USD. Por que o envenenamento de endereço é tão bem-sucedido?

Título original do artigo: "50 milhões de USD roubados devido à falha na dupla verificação de endereço"

Autor original do artigo: Eric, Foresight News

Ontem de manhã, horário de Pequim, um analista de blockchain chamado Specter descobriu um caso em que quase 50 milhões de USDT foram transferidos para o endereço de um hacker devido à falta de uma verificação cuidadosa do endereço.

De acordo com a investigação conduzida pelo autor, o endereço (0xcB80784ef74C98A89b6Ab8D96ebE890859600819) sacou 50 USDT da Binance para um teste de saque grande por volta das 13:00 do dia 19, horário de Pequim.

Aproximadamente 10 horas depois, o endereço sacou 49.999.950 USDT em uma única transação da Binance, somando aos 50 USDT anteriores, totalizando exatamente 50 milhões.

Cerca de 20 minutos depois, o endereço que recebeu os 50 milhões de USDT primeiro transferiu 50 USDT para o endereço 0xbaf4…95F8b5 para fins de teste.

Em menos de 15 minutos após a transação de teste, o endereço do hacker 0xbaff…08f8b5 transferiu 0,005 USDT para o endereço que detinha os 49.999.950 USDT restantes. O endereço do hacker usado para a transferência tinha um início e um fim muito semelhantes em comparação com o endereço que recebeu os 50 USDT, indicando um claro ataque de "envenenamento de endereço" (address poisoning).

10 minutos depois, enquanto o endereço começando com 0xcB80 tentava transferir os 40+ milhões de USDT restantes, possivelmente devido à negligência, ele copiou erroneamente a transação anterior, ou seja, o endereço usado pelo hacker para o "envenenamento", e enviou diretamente quase 50 milhões de USDT para o hacker.

Após receber os 50 milhões de USD, o hacker iniciou atividades de lavagem de dinheiro apenas 30 minutos depois. De acordo com o monitoramento da SlowMist, o hacker primeiro converteu o USDT em DAI via MetaMask, depois usou todo o DAI para comprar aproximadamente 16.690 Ethereum, mantendo 10 ETH e transferindo o restante do Ethereum para o Tornado Cash.

Ontem por volta das 16:00 (horário de Pequim), a vítima chamou o hacker on-chain, declarando que acusações criminais haviam sido oficialmente registradas. Com a assistência de agências de aplicação da lei, organizações de segurança cibernética e múltiplos protocolos de blockchain, uma quantidade significativa de inteligência credível sobre as atividades do hacker foi coletada. A vítima declarou que o hacker poderia manter 1 milhão de dólares e devolver os 98% restantes dos fundos. Se o hacker cumprisse, nenhuma ação adicional seria tomada; no entanto, se o hacker não cooperasse, ele seria processado através de canais legais por responsabilidade criminal e civil, e a identidade do hacker seria publicamente divulgada. Até agora, o hacker não fez nenhum movimento.

De acordo com dados compilados pela plataforma Arkham, este endereço tem registros de grandes transferências com endereços da Binance, Kraken, Coinhako e Cobo. Embora Binance, Kraken e Cobo sejam bem conhecidos, Coinhako pode ser um nome relativamente desconhecido. A Coinhako é uma exchange de criptomoedas local de Singapura estabelecida em 2014. Em 2022, obteve uma licença de Major Payment Institution da Autoridade Monetária de Singapura, tornando-a uma exchange regulamentada em Singapura.

Dado que este endereço interagiu com múltiplas exchanges e serviços de custódia Cobo e demonstrou a capacidade de contatar rapidamente várias partes para rastrear o hacker dentro de 24 horas após o incidente, o autor especula que este endereço provavelmente pertence a uma organização em vez de um indivíduo.

De um "Oops" a um erro caro

A única explicação para um ataque de "envenenamento de endereço" bem-sucedido é a "negligência". Tais ataques podem ser facilmente evitados verificando duas vezes o endereço antes de uma transação, mas, evidentemente, a figura central neste incidente pulou este passo crucial.

Os ataques de envenenamento de endereço surgiram em 2022, com a história originando-se de um gerador de "endereços sofisticados", uma ferramenta que permite a personalização do prefixo do endereço EVM. Por exemplo, o autor poderia gerar um endereço começando com 0xeric para torná-lo mais reconhecível.

O hacker descobriu mais tarde que, devido a uma falha de design, esta ferramenta poderia forçar chaves privadas, levando a vários incidentes importantes de roubo de fundos. No entanto, a capacidade de gerar endereços com prefixos e sufixos personalizados também despertou uma ideia sinistra: ao criar endereços semelhantes ao início e ao fim do endereço de transferência comumente usado por um usuário e transferir fundos para outro endereço usado pelo usuário, alguns indivíduos podem enviar erroneamente seus ativos on-chain para o endereço do hacker, assumindo que é o seu próprio devido à negligência.

Dados on-chain históricos mostram que o endereço começando com 0xcB80 era um dos principais alvos para envenenamento de endereço pelo hacker antes deste ataque, com o ataque de envenenamento de endereço começando há quase 1 ano. Este método de ataque depende fundamentalmente da aposta do hacker de que um dia você cairá no truque devido à preguiça ou desatenção. Ironicamente, este método de ataque flagrantemente óbvio levou cada vez mais indivíduos "negligentes" a se tornarem vítimas.

Em resposta a este incidente, o cofundador da F2Pool, Wang Chun, expressou simpatia pelas vítimas. Ele mencionou que no ano passado, para testar se seu endereço havia sofrido um vazamento de chave privada, ele enviou 500 Bitcoins para ele, apenas para ter 490 Bitcoins roubados por hackers. Embora a experiência de Wang Chun não esteja diretamente relacionada a ataques de envenenamento de endereço, ele provavelmente queria transmitir que todos têm momentos de descuido e não deveriam culpar as vítimas por sua negligência, mas sim apontar o dedo para os hackers.

Uma perda de 50 milhões de dólares não é uma quantia pequena, mas não é a maior quantia roubada em tais ataques. Em maio de 2024, um endereço foi vítima de um ataque semelhante onde mais de 70 milhões de dólares em Bitcoin (WBTC) envelopado foram enviados para o endereço de um hacker. No entanto, a vítima finalmente recuperou quase todos os fundos através de negociação on-chain com a assistência de empresas de segurança Match Systems e da plataforma de trading Cryptex. Neste incidente recente, o hacker converteu rapidamente os fundos roubados em Ethereum e os transferiu para o Tornado Cash, tornando a possibilidade de recuperação incerta.

O cofundador e Chief Security Officer da Casa, Jameson Lopp, alertou em abril que os ataques de envenenamento de endereço estavam se espalhando rapidamente, com mais de 48.000 incidentes desse tipo ocorrendo na rede Bitcoin desde 2023.

Esses métodos de ataque, incluindo links falsos de reuniões Zoom no Telegram, não são sofisticados, mas é precisamente essa abordagem "simples" que pode pegar as pessoas desprevenidas. Para aqueles de nós na floresta escura, é sempre melhor ser extremamente cauteloso.

Link do artigo original