Mais de 500 carteiras Ethereum drenadas num ataque coordenado, fundos lavados via ThorChain

Mais de 500 carteiras Ethereum, muitas inactivas há anos, foram drenadas num ataque coordenado que resultou em perdas de aproximadamente $800.000, com fundos roubados posteriormente lavados através do protocolo de cadeia cruzada ThorChain, segundo investigadores on-chain. O incidente destaca-se pela antiguidade das carteiras afectadas, com algumas inactivas até sete anos. Analistas referiram que o atacante visou carteiras sem actividade recente, levantando preocupações sobre vulnerabilidades latentes associadas a práticas antigas de gestão de chaves ou a credenciais previamente comprometidas.

Alvos do ataque: carteiras adormecidas em larga escala

Os dados on-chain indicam que um conjunto coordenado de endereços drenou sistematicamente fundos de centenas de carteiras num curto período. As carteiras afectadas detinham ether e outros tokens, embora os saldos individuais fossem geralmente modestos.

Os investigadores observaram que muitas das carteiras comprometidas foram criadas entre quatro e oito anos antes, sugerindo que métodos antigos de armazenamento ou chaves privadas expostas podem ter desempenhado um papel. Em alguns casos, utilizadores afectados relataram não ter tido interacção recente com aplicações descentralizadas nem com contratos suspeitos, o que acrescenta incerteza sobre como foi obtido o acesso.

O atacante não esvaziou completamente todas as carteiras, levando analistas a considerar se a operação envolveu segmentação selectiva com base em limiares de saldo ou em estratégias de extracção concebidas para evitar detecção.

Vector de ataque não esclarecido

Um dos aspectos mais significativos do incidente é a ausência de um ponto de entrada confirmado. Ao contrário de drenagens comuns de carteiras associadas a links de phishing ou aprovações maliciosas, este ataque ainda não foi ligado a um mecanismo de exploração específico.

Investigadores de segurança sugeriram várias explicações possíveis, incluindo chaves privadas comprometidas, vulnerabilidades em software de carteira desactualizado, ou credenciais expostas em rupturas de dados históricas que só recentemente foram exploradas.

O alvo em carteiras adormecidas intensificou as preocupações porque tais endereços são frequentemente considerados mais seguros devido à falta de interacção com protocolos mais recentes. O evento desafia essa presunção e realça os riscos associados ao armazenamento de longo prazo sem rotação periódica de chaves.

Fundos encaminhados através da ThorChain para obscurecer o rasto

Após o roubo, o atacante moveu fundos através da ThorChain, um protocolo descentralizado de liquidez cross-chain que permite trocas de activos em múltiplas blockchains sem intermediários centralizados. Os investigadores disseram que porções do ether roubado foram convertidas noutros activos para complicar os esforços de rastreio. A utilização de infra-estruturas cross-chain e de trocas de activos é uma táctica comum em explorações relacionadas com cripto, pois fragmenta os rastos das transacções e reduz a capacidade de atribuição.

Implicações de segurança e recomendações

O incidente evidencia vulnerabilidades persistentes em sistemas de self-custody, especialmente para carteiras criadas durante fases anteriores do ecossistema cripto. À medida que a indústria evolui, as carteiras mais antigas podem depender de pressupostos de segurança desactualizados ou de ferramentas que já não são consideradas boas práticas.

Analistas de segurança alertaram que carteiras adormecidas podem tornar-se alvos se chaves privadas tiverem sido expostas devido a entropia fraca, dispositivos comprometidos ou fugas históricas. O evento mais recente realça a importância de medidas de segurança proactivas, incluindo a migração de fundos para carteiras recém-geradas e a actualização das práticas de armazenamento.

Embora o impacto financeiro seja relativamente limitado face a grandes explorações em DeFi, a natureza do ataque atraiu atenção significativa devido à sua estratégia de segmentação invulgar e à causa técnica ainda pouco clara. Para participantes no mercado, o incidente reforça a importância da higiene da carteira e da gestão de chaves, à medida que os atacantes continuam a evoluir os seus métodos.

Os investigadores continuam a analisar padrões de transacções na tentativa de determinar a causa raiz. Uma compreensão mais clara da exploração pode orientar recomendações futuras de segurança e ajudar a prevenir incidentes semelhantes. O ataque serve como um lembrete de que a inactividade, por si só, não garante segurança em cripto, e que mesmo activos há muito dormentes podem tornar-se alvos num ambiente de ameaças cada vez mais complexo.