Mais de 500 carteiras de Ethereum foram drenadas em um ataque coordenado, com fundos lavados via ThorChain

Mais de 500 carteiras de Ethereum, muitas inativas há anos, foram drenadas em um ataque coordenado que resultou em aproximadamente US$ 800 mil em perdas, com os fundos roubados posteriormente lavados por meio do protocolo cross-chain ThorChain, segundo investigadores on-chain. O incidente se destaca pela idade das carteiras afetadas, com algumas ficando inativas por até sete anos. Analistas observaram que o atacante mirou carteiras sem atividade recente, levantando preocupações sobre vulnerabilidades latentes associadas a práticas mais antigas de gerenciamento de chaves ou a credenciais previamente comprometidas.

Alvos do Ataque: Carteiras Inativas em Escala

Os dados on-chain indicam que um conjunto coordenado de endereços drenou sistematicamente fundos de centenas de carteiras em um curto período. As carteiras afetadas mantinham ether e outros tokens, embora, em geral, os saldos individuais fossem modestos.

Pesquisadores notaram que muitas das carteiras comprometidas foram criadas entre quatro e oito anos atrás, sugerindo que métodos antigos de armazenamento ou chaves privadas expostas podem ter tido um papel. Em alguns casos, usuários afetados relataram nenhuma interação recente com aplicativos descentralizados ou contratos suspeitos, o que aumenta a incerteza sobre como o acesso foi obtido.

O atacante não esvaziou completamente cada carteira, levando analistas a considerar se a operação envolveu direcionamento seletivo com base em limites de saldo ou estratégias de extração projetadas para evitar detecção.

Vetor de Ataque Incerto

Um dos aspectos mais significativos do incidente é a ausência de um ponto de entrada confirmado. Diferentemente de drenagens comuns de carteiras vinculadas a links de phishing ou aprovações maliciosas, este ataque ainda não foi associado a um mecanismo de exploração específico.

Pesquisadores de segurança sugeriram várias explicações possíveis, incluindo chaves privadas comprometidas, vulnerabilidades em softwares de carteira desatualizados ou credenciais expostas em violações de dados históricas que só foram exploradas recentemente.

O direcionamento de carteiras dormentes intensificou as preocupações, porque esses endereços muitas vezes são considerados mais seguros devido à falta de interação com protocolos mais novos. O evento desafia essa suposição e destaca os riscos associados ao armazenamento de longo prazo sem rotação periódica de chaves.

Fundos Roteados via ThorChain para Obscurecer o Rastro

Após o roubo, o atacante movimentou fundos por meio do ThorChain, um protocolo descentralizado de liquidez cross-chain que permite trocas de ativos entre múltiplas blockchains sem intermediários centralizados. Investigadores disseram que partes do ether roubado foram convertidas em outros ativos para dificultar os esforços de rastreamento. O uso de infraestrutura cross-chain e troca de ativos é uma tática comum em explorações relacionadas a cripto, pois fragmenta os rastros das transações e reduz a capacidade de rastreio.

Implicações de Segurança e Recomendações

O incidente evidencia vulnerabilidades persistentes nos sistemas de auto-custódia, especialmente para carteiras criadas durante fases anteriores do ecossistema cripto. À medida que a indústria evolui, carteiras mais antigas podem depender de premissas de segurança desatualizadas ou de ferramentas que já não são consideradas boas práticas.

Analistas de segurança alertaram que carteiras dormentes podem se tornar alvos caso as chaves privadas tenham sido expostas por entropia fraca, dispositivos comprometidos ou vazamentos históricos. O evento mais recente destaca a importância de medidas de segurança proativas, incluindo migrar fundos para carteiras recém-geradas e atualizar as práticas de armazenamento.

Embora o impacto financeiro seja relativamente limitado em comparação com explorações DeFi maiores, a natureza do ataque chamou atenção significativa devido à sua estratégia de direcionamento incomum e à causa técnica incerta. Para participantes do mercado, o incidente reforça a importância de higiene de carteira e de gerenciamento de chaves enquanto atacantes continuam a evoluir seus métodos.

Investigadores seguem analisando padrões de transações na tentativa de determinar a causa raiz. Uma compreensão mais clara da exploração pode embasar futuras recomendações de segurança e ajudar a prevenir incidentes semelhantes. O ataque serve como lembrete de que a inatividade, por si só, não garante segurança em cripto, e que até ativos há muito tempo parados podem se tornar alvos em um ambiente de ameaças cada vez mais complexo.