-
L’indici més clar que va trobar l’investigador per analitzar-lo és que l’ETH robat era nadiu.
-
El drenatge va tenir lloc només en 13 hores, suggerint l’ús d’un script automatitzat.
L’atacant que va drenar les 572 wallets d’Ethereum amb un total de USD 760.000 tenia accés directe a les claus privades de totes. Aquesta és la conclusió central de l’anàlisi on-chain publicada per l’investigador conegut com The Smart Ape sobre el robatori de fons en adreces d’Ethereum que va tenir lloc entre el 29 i el 30 d’abril.
El senyal més clar, segons The Smart Ape, és que el 99% dels fons extrets era ether (ETH) nadiu. D’acord amb el seu informe, només va aparèixer un token addicional a tot l’incident (402 SAI, equivalents a uns USD 8.900), per la qual cosa descartaria altres vectors usats en aquest tipus de robatoris:
El conjunt d’eines estàndard de drenatge com a servei treballa enganyant els usuaris perquè signin aprovacions. Quan aquesta firma és a la cadena, el drenador extreu USDC, USDT, WETH, qualsevol cosa amb una aprovació. Veureu una llarga i lletja llista de tokens. Les sortides només a ETH són la signatura d’algú que signa les transaccions ell mateixés a dir, que té la clau privada, no només una autorització falsificada per moure fons.
The Smart Ape, analista i investigador en cadena.
Què aporta el tipus de wallets afectats a l’anàlisi de l’atac?
Com va reportar CriptoNoticias, inicialment es va estimar que l’atac va concentrar wallets amb anys d’inactivitatalgunes amb fins a 14 anys d’antiguitat.
Tot i això, l’anàlisi de The Smart Ape mostra que això és només part del quadre, ja que el 54% de les 572 wallets drenades havia tingut activitat en els darrers 12 mesosi altres 19 mai havien enviat una sola transacció. “Això és inusual perquè la majoria dels vectors d’atac coneguts apunten una població específica”, assenyala l’investigador.
El gràfic següent compartit per l’investigador revela el temps d’inactivitat de les wallets afectades al moment del drenatge:
«Aquest (atacant) semblava tenir una clau per a cada tipus de wallet alhora», i per això aquesta heterogeneïtat descarta que el hacker hagi explotat una vulnerabilitat puntual d’una eina o període específic, en la visió de l’analista.
Més característiques de l’atac a les wallets d’Ethereum
D’acord amb l’anàlisi on-chain de The Smart Ape, l’atac va tenir dues condicions més que permeten reconstruir com va operar l’atacant.
La primera és el ritme. 572 wallets drenades en 13 hores és veloç, però no irregular, va assegurar l’investigador. L’hora punta, les 5:00 UTC del 30 d’abril, va concentrar 244 wallets buidades en seixanta minuts, per la qual cosa “aquesta cadència és consistent amb un script iterant a través d’una llista”va assenyalar.
També és inconsistent amb un embut de phishing: les campanyes de phishing degoten durant dies, a mesura que els usuaris obren correus o missatges directes.
The Smart Ape, analista i investigador en cadena.
I la segona és el comportament posterior al drenatge. Després de l’hackeig, els fons van ser consolidats i enviats en una sola transacció al protocol ThorChain, des d’on es van pontejar Bitcoin i Monerocom ho va informar CriptoNoticias. The Smart Ape detalla que abans d’aquesta transferència l’atacant va enviar dues transaccions petites de prova de 0,02 ETH i 2 ETH per verificar el camí de sortida, i va esperar tres hores després de completar el drenatge abans de moure els diners.
Què va poder originar el robatori?
La hipòtesi més plausible, segons The Smart Ape, és la filtració de LastPass d’agost del 2022, quan atacants van obtenir accés a voltes de contrasenyes xifrades que molts usuaris feien servir per emmagatzemar frases de recuperació i claus privades.
“El cronograma encaixa: per al 2026, el desxifrat per força bruta mitjançant GPU contra les voltes més febles està assolint maduresa”, escriu l’analista. Chainalysis i altres investigadors ja havien vinculat robatoris anteriors sense atribució a aquesta mateixa filtració, segons The Smart Ape.
Altres vectors possibles, segons l’investigador, són versions compromeses de biblioteques de wallets o bots de trading que exigeixen a lusuari enganxar la seva clau privada directament en laplicació. Això explicaria la presència de wallets actives a l’últim any entre les víctimes. Una filtració del backend de qualsevol d’aquests serveis produiria exactament el tipus de wallets actives que conformen la meitat de la llista de víctimes:
Bots de snipe, bots de còpia de trading, bots de MEV: molts requereixen que els usuaris enganxin una clau privada directament a l’aplicació.
The Smart Ape, analista i investigador en cadena.
La conclusió de The Smart Ape és que l’atacant probablement va consolidar múltiples fonts de claus filtrades en una sola llista, va aplicar un filtre de rendibilitat (només wallets amb saldo per sobre d’un llindar) i va executar el drenatge en un sol escombrat coordinat.
“Això explica per què la distribució d’inactivitat és tan desordenada: wallets antigues d’ICO amb instal·lacions recents de MetaMask, perquè l’únic que tenen en comú és que la seva clau va aparèixer en algun lloc on aquest atacant té accés”, va detallar l’analista.
Així, mentre el vector d’atac segueix sense confirmació, per als qui hagin emmagatzemat claus privades o frases de recuperació a LastPass, Bitwarden o qualsevol gestor de contrasenyes compromès en els últims anys, The Smart Ape té una recomanació concreta: «Rotarà aquestes claus. La wallet que vas oblidar que tenies el 2018 és exactament la que aquest script està buscant».
