- ZachXBT rastreou esvaziamentos de carteiras em redes EVM, com perdas permanecendo pequenas por endereço.
- Um único endereço Ethereum continua recebendo fundos, sinalizando atividade entre cadeias.
- Analistas estudam aprovações, assinaturas e extensões, mas o método do exploit é desconhecido.
O investigador de blockchain ZachXBT alertou a comunidade cripto sobre uma atividade inexplicável de esvaziamento de carteiras que afeta múltiplas blockchains compatíveis com EVM. A atividade já resultou em mais de US$ 107.000 em perdas. Normalmente, cada carteira individual perde menos de US$ 2.000. Ainda assim, o número de endereços afetados continua crescendo. A origem dos esvaziamentos segue não identificada.
O rastreamento on-chain vinculou os fundos roubados a um único endereço Ethereum, que recebe repetidas transferências de vítimas não relacionadas. O endereço, 0xAc2e5153170278e24667a580baEa056ad8Bf9bFB, apareceu em várias transações ligadas à atividade. Os fundos continuam sendo enviados para esse endereço, indicando que o esvaziamento não parou.
Em vez de grandes roubos isolados, a atividade depende de saques pequenos espalhados por várias carteiras. Esse padrão parece atrasar a detecção. Como resultado, as perdas se acumulam silenciosamente enquanto as vítimas permanecem desavisadas até perceberem a queda dos saldos.
Padrão Cross-Chain Chama Atenção
Relatórios mostram que a atividade se espalha por diversas redes baseadas em EVM. Segundo o BitPinas, carteiras afetadas aparecem em Ethereum, BNB Chain, Base, Arbitrum, Polygon, Optimism e outros ecossistemas EVM. A diversidade de redes envolvidas levantou dúvidas sobre um possível ponto de falha comum.
Como as cadeias EVM utilizam padrões de carteira e fluxos de assinatura semelhantes, os investigadores suspeitam que o exploit não tem como alvo um único protocolo. Em vez disso, pode envolver lógica comum de carteiras ou manipulação de permissões. Muitas carteiras compartilham processos de aprovação e prompts de usuário parecidos.
Apesar do volume crescente de dados, nenhuma causa confirmada surgiu. Analistas continuam examinando abusos de aprovação de tokens, solicitações de assinatura enganosas e possíveis problemas na cadeia de suprimentos de softwares de carteira. Algumas pesquisas também se concentram em extensões de navegador. Nenhuma dessas hipóteses foi confirmada até agora.
Relacionado: ZachXBT expõe cofundador oculto da BlockDAG e milhões desaparecidos
Explorações de Dezembro Oferecem Contexto Amplo
Os esvaziamentos de carteiras acontecem após um mês marcado por diversos grandes incidentes de segurança em cripto. A PeckShield reportou 26 exploits significativos em dezembro. Um pequeno número de casos foi responsável pela maior parte das perdas. O maior envolveu um único usuário que perdeu US$ 50 milhões em um golpe de address poisoning.
Em ataques de address poisoning, agentes maliciosos enviam pequenas transações de endereços que se parecem muito com os legítimos. Posteriormente, as vítimas copiam o endereço errado do histórico de transações durante uma transferência. Os fundos então são enviados de forma irreversível para o atacante. Esses golpes dependem da semelhança visual, e não de falhas técnicas.
A PeckShield também documentou outro incidente em dezembro envolvendo vazamento de chave privada associado a uma carteira multi-assinatura. Essa violação resultou em perdas de cerca de US$ 27,3 milhões. O caso mostrou que mesmo carteiras que exigem múltiplas aprovações permanecem vulneráveis quando a segurança das chaves falha.
Carteiras de Navegador Continuam Expostas
Carteiras baseadas em navegador sempre são as mais visadas por atacantes, principalmente porque estão continuamente conectadas à Internet. A PeckShield foi citada como uma das explorações do Dia de Natal que drenaram aproximadamente US$ 7 milhões da extensão de navegador da Trust Wallet. Outro incidente em dezembro teve como alvo o protocolo Flow, com uma perda aproximada de US$ 3,9 milhões.
A ocorrência desses incidentes é uma indicação clara dos riscos que ainda existem em ambientes de carteiras online. A maioria dos pesquisadores de segurança recomenda carteiras hardware, que mantêm as chaves privadas offline, como a opção mais segura para armazenamento de longo prazo.
Em relação ao atual esvaziamento de carteiras EVM, as equipes de segurança sugeriram que os usuários revoguem aprovações não utilizadas, verifiquem os aplicativos conectados e reduzam a atividade de assinaturas. Muitos também recomendam transferir ativos para novas carteiras com novas frases-semente enquanto o monitoramento continua.
