Una balena delle criptovalute ha perso circa 38 milioni di dollari dopo che un aggressore ha preso il controllo di un portafoglio multisig e ne ha silenziosamente prosciugato i fondi nelle prime ore di oggi.
Il caso sta attirando molta attenzione perché l'aggressore non solo ha spostato asset tramite Tornado Cash, ma ha anche mantenuto il controllo di una posizione DeFi con leva finanziaria legata al portafoglio compromesso.
Multisig svuotato dopo la compromissione della chiave privata
Il 18 dicembre, la società di sicurezza blockchain PeckShield ha riferito su X che il portafoglio di una balena è stato svuotato dopo che una chiave privata è stata esposta, causando perdite di circa 27,3 milioni di dollari a prima vista. Un successivo monitoraggio on-chain ha mostrato che il danno totale è salito a quasi 38 milioni di dollari una volta inclusi i portafogli e le posizioni correlate.
Secondo PeckShield, l'attaccante ha già inviato 4.100 ETH, per un valore di circa 12,6 milioni di dollari, tramite Tornado Cash, in un apparente tentativo di oscurare la traccia. Rimangono circa 2 milioni di dollari in attività liquide. Ancora più preoccupante, l'attaccante controlla ancora l'indirizzo della vittima, che detiene una posizione lunga con leva finanziaria su Aave, con dati on-chain che mostrano circa 25 milioni di dollari in ETH forniti come garanzia a fronte di oltre 12 milioni di dollari in DAI presi in prestito.
L'analista on-chain Specter ha condiviso una cronologia dettagliata su X, osservando che la vittima ha creato un portafoglio multisig 1-on-1, il che significa che richiedeva una sola firma da un singolo firmatario per autorizzare le transazioni. Tuttavia, questa configurazione vanificava lo scopo principale di un portafoglio multisig, ovvero richiedere più approvazioni indipendenti.
Meno di 40 minuti dopo il trasferimento dei fondi, il portafoglio ha registrato un massiccio deflusso che ha prosciugato tutti i token. Più o meno nello stesso momento, il firmatario è stato trasferito a un indirizzo controllato da un aggressore.
Specter ha affermato che la spiegazione più probabile è che la chiave privata sia trapelata durante la configurazione o che la vittima si sia affidata a una terza parte malintenzionata per ottenere aiuto nella creazione del portafoglio. Un post successivo, citando il ricercatore tanuki42, ha suggerito che l'aggressore potrebbe aver creato autonomamente il multisig, lasciando la vittima esposta sia durante che dopo la configurazione.
Uno schema familiare nei fallimenti della sicurezza crittografica
L'incidente si inserisce in un più ampio schema di furto di chiavi private e ingegneria sociale che continua ad affliggere il settore delle criptovalute. In un rapporto del 15 dicembre, il gruppo di sicurezza informatica Security Alliance ha avvertito che hacker legati alla Corea del Nord stanno effettuando quotidianamente false chiamate Zoom e Teams per infiltrare malware e rubare chiavi private, un metodo che ha causato perdite per centinaia di milioni di dollari.
Il fondatore di Binance, Changpeng Zhao, ha lanciato un avvertimento simile a settembre, affermando che gli aggressori stanno prendendo sempre più di mira la fiducia umana piuttosto che le falle degli smart contract, spesso fingendosi collaboratori, candidati o organizzatori di riunioni.
La cronologia on-chain mostra che la whale era attiva da mesi prima dell'attacco hacker. Il 7 maggio, Onchain Lens ha segnalato che lo stesso indirizzo aveva prelevato oltre 2.500 ETH da OKX e aveva depositato fondi tramite Kiln Finance, accumulando progressivamente un'ampia posizione in ETH.
Per ora, il controllo continuo della posizione Aave da parte dell'attaccante aggiunge un ulteriore livello di rischio. Se i mercati dovessero subire brusche oscillazioni, le liquidazioni forzate potrebbero aggravare le perdite, trasformando una violazione già costosa in una lezione ancora più dura sulla sicurezza multisig e sulla gestione delle chiavi private.
Il post Crypto Whale perde 38 milioni di dollari in un exploit Multisig è apparso per la prima volta su CryptoPotato .