Agora lendo: Hacker assume controle de multisig minutos após criação e drena até US$ 40 milhões em etapas
- 01
Hacker assume controle de multisig minutos após criação e drena até US$ 40 milhões em etapas
Hacker assume controle de multisig minutos após criação e drena até US$ 40 milhões em etapas
Quem: uma baleia (investidor de grande porte) do mercado cripto, a empresa de segurança blockchain PeckShield, o head de forense da Hacken Extractor, Yehor Rudytsia, e o auditor de DApps Abdelfattah Ibrahim.
O quê: um invasor tomou o controle de uma carteira multisig logo após a sua criação, drenando e lavando gradualmente valores que podem superar US$ 40 milhões.
Quando: o incidente começou em 4 de novembro, às 7h46 UTC, há 44 dias, e segue em curso com movimentações registradas até meados de dezembro.
Onde: as transações ocorreram on-chain, envolvendo a plataforma de privacidade Tornado Cash e o protocolo DeFi Aave.
Como: a chave privada da carteira foi comprometida. Seis minutos após a criação do multisig, o atacante transferiu a posse para si, transformando-o em um esquema “1-de-1” (apenas uma assinatura necessária) e, assim, eliminando a proteção típica de multisigs.
Por quê: a vulnerabilidade permitiu que o invasor agisse com calma, movimentando fundos em lotes para evitar detecção imediata.
Detalhes da invasão
De acordo com a PeckShield, cerca de US$ 27,3 milhões já foram retirados da carteira. Deste total, aproximadamente US$ 12,6 milhões (4.100 ETH) foram lavados por meio do Tornado Cash, enquanto cerca de US$ 2 milhões permanecem disponíveis em ativos líquidos. O invasor mantém ainda uma posição alavancada de long em Aave e cerca de US$ 25 milhões continuam sob seu controle no multisig.
Imagem: cointelegraph.com
Nova análise de Yehor Rudytsia eleva as perdas potenciais para acima de US$ 40 milhões. Segundo os dados on-chain examinados por ele, o invasor possivelmente criou o multisig, depositou os fundos da vítima e, em seguida, assumiu a propriedade.
Vetor de ataque e precauções
Abdelfattah Ibrahim aponta possíveis rotas de comprometimento, como malwares ou infostealers no dispositivo do signatário, golpes de phishing que induzem a aprovação de transações maliciosas ou falhas de segurança operacional, incluindo armazenar chaves em texto simples ou usar o mesmo dispositivo para múltiplas assinaturas. Entre as práticas recomendadas para evitar episódios semelhantes estão isolar dispositivos de assinatura (cold devices) e verificar transações além da interface do usuário.
Contexto mais amplo
Pesquisas recentes realizadas por Anthropic e Machine Learning Alignment & Theory Scholars (MATS) indicam que modelos de IA de ponta, como Claude Opus 4.5, Claude Sonnet 4.5 e o futuro GPT-5, já conseguem identificar e explorar vulnerabilidades em contratos inteligentes, gerando lucros de milhões de dólares em ambientes de teste.
O caso da multisig reforça preocupações sobre segurança em finanças descentralizadas, especialmente quando práticas recomendadas não são plenamente adotadas.
