$6,2M de fundos roubados da SagaEVM rastreados até depósitos na Tornado Cash

Fonte: CryptoNewsNet Título Original: $6.2M dos fundos roubados durante o exploit SagaEVM foram depositados na Tornado Cash Link Original: $6,2 milhões dos fundos roubados durante o exploit SagaEVM foram rastreados até depósitos na Tornado Cash, um mixer de privacidade na Ethereum que ajuda a obscurecer rastros de transações.

A tática é comum entre hackers que tentam lavar fundos roubados consideráveis e tornar a recuperação quase impossível.

O exploit que visou a SagaEVM, descrita como uma L1 para lançar L1s, ocorreu em 21 de janeiro. Após o incidente, a equipa publicou que a L1 tinha sido pausada no bloco 6593800 em resposta ao exploit confirmado na chainlet SagaEVM.

Como os hackers lavaram os fundos roubados

De acordo com o relatório da empresa de segurança blockchain CertiK, os atacantes inicialmente distribuíram os fundos por cinco carteiras separadas antes de canalizá-los para o mixer de privacidade através de múltiplas transações.

“Mitigação está em andamento, e a equipa está totalmente focada numa solução”, escreveu a equipa na altura.

O exploit resultou na transferência de quase $7.000.000 em USDC, yUSD, ETH e tBTC para a rede principal Ethereum. A carteira do explorador foi identificada e alimentada em exchanges e pontes para colocá-la na lista negra e possivelmente recuperar os fundos roubados.

De acordo com o relatório da CertiK, $6,2 milhões desses fundos foram agora divididos em depósitos alimentados na Tornado Cash. Espera-se que isso frustre os esforços de remediação e recuperação.

O último depósito aumenta a notoriedade da Tornado Cash, somando-se a um passado marcado por sanções dos EUA e questões legais que ainda afligem os seus desenvolvedores.

Os atacantes continuam a usá-la para obscurecer seus rastros após o exploit, e ela faz exatamente o que foi projetada para fazer — ajudá-los a desaparecer.

O que aconteceu com a SagaEVM?

De acordo com uma análise post-mortem compartilhada pela equipa em 21 de janeiro, o incidente envolveu uma sequência coordenada de implantações de contratos, atividade cross-chain e subsequentes retiradas de liquidez.

O documento revelou que a equipa pausou a cadeia por precaução enquanto investigava e mitigava ativamente. Mostrou que o foco era impedir impactos adicionais mantendo a SagaEVM pausada enquanto a mitigação era implementada; validar toda a extensão do impacto usando dados de arquivo e rastros de execução; e reforçar os componentes relevantes antes de reiniciar.

Os principais componentes afetados pelo exploit incluem a chainlet SagaEVM, bem como Colt e Mustang. Outros, como a rede principal Saga SSC, o consenso do protocolo Saga, a segurança dos validadores e outras chainlets Saga, permaneceram intactos.

“Não houve falha de consenso, comprometimento de validadores ou vazamento de chaves de assinatura”, dizia o documento. “A rede Saga mais ampla permanece estruturalmente sólida.”

A equipa afirmou que seus próximos passos seriam completar a validação da causa raiz, corrigir e reforçar os componentes cross-chain e de implantação afetados, coordenar com parceiros do ecossistema onde relevante, e publicar uma análise técnica mais abrangente.

Vulnerabilidade remete ao Cosmos

Após receber suporte de engenheiros do Cosmos Labs, a equipa revelou que o problema teve origem na base de código Ethermint original, tornando-se uma questão herdada.

Em resposta a essa publicação, o Cosmos Labs compartilhou uma declaração, admitindo que estão cientes do incidente e afirmando que têm trabalhado de perto com a Saga e parceiros de segurança externos para investigar e remediar a “vulnerabilidade confirmada.”

Revelaram que contactaram um subconjunto de chains EVM que consideraram afetadas pelo incidente e forneceram mitigação de curto prazo.

“Como sempre, recomendamos que todos os projetos continuem a implementar práticas de segurança básicas, como limitação de taxa e monitoramento de segurança, para fortalecer a detecção e mitigação precoces,” escreveram.