As transações on-chain do invasor por trás do hack de US$ 116 milhões no Balancer indicam um agente sofisticado e uma preparação extensa que pode ter levado meses para ser orquestrada sem deixar rastros, segundo uma nova análise on-chain.
A exchange descentralizada (DEX) e formadora automatizada de mercado (AMM) Balancer foi explorada na segunda-feira, resultando em uma perda de cerca de US$ 116 milhões em ativos digitais.
Dados da blockchain mostram que o invasor financiou cuidadosamente sua conta com pequenos depósitos de 0,1 Ether (ETH) vindos do mixer de criptomoedas Tornado Cash, para evitar detecção. Conor Grogan, diretor da Coinbase, disse que o invasor tinha pelo menos 100 ETH armazenados em contratos inteligentes do Tornado Cash, indicando possíveis ligações com hacks anteriores.
“O hacker parece experiente: 1. Financiou a conta com 100 ETH e depósitos de 0,1 do Tornado Cash. Sem vazamentos de opsec”, disse Grogan em uma publicação no X na segunda-feira. “Como não houve depósitos recentes de 100 ETH no Tornado, é provável que o invasor já tivesse fundos lá de explorações anteriores.”
Grogan observou que raramente usuários armazenam quantias tão grandes em mixers de privacidade, o que reforça a indicação de profissionalismo do invasor.
O Balancer ofereceu ao invasor uma recompensa de White Hat de 20% se os fundos roubados fossem devolvidos integralmente, descontada a recompensa, até quarta-feira.
“Nossa equipe está trabalhando com os principais pesquisadores de segurança para entender o problema e compartilhará descobertas adicionais e um relatório completo o mais rápido possível”, escreveu o Balancer em sua última atualização no X na segunda-feira.
Exploração do Balancer foi o ataque mais sofisticado de 2025, diz Cyvers
A exploração do Balancer é um dos “ataques mais sofisticados que vimos neste ano”, segundo Deddy Lavid, cofundador e CEO da empresa de segurança blockchain Cyvers:
“Os invasores contornaram as camadas de controle de acesso para manipular diretamente os saldos de ativos, uma falha crítica na governança operacional, e não na lógica principal do protocolo.”
Lavid afirmou que o ataque demonstra que auditorias de código estáticas já não são suficientes. Em vez disso, ele defende monitoramento contínuo e em tempo real para sinalizar fluxos suspeitos antes que os fundos sejam drenados.
Lazarus Group interrompeu atividades ilícitas por meses antes do hack de US$ 1,4 bilhão na Bybit
O notório Lazarus Group, da Coreia do Norte, também é conhecido por longos períodos de preparação antes de seus maiores ataques.
Segundo a empresa de análise blockchain Chainalysis, a atividade ilícita ligada a hackers norte-coreanos caiu drasticamente após 1º de julho de 2024, apesar do aumento de ataques nos primeiros meses daquele ano.
A desaceleração significativa antes do hack da Bybit indicava que o grupo de hackers apoiado pelo Estado estava “se reorganizando para selecionar novos alvos”, segundo Eric Jardine, líder de pesquisa em crimes cibernéticos da Chainalysis.
“A desaceleração que observamos pode ter sido uma reestruturação para escolher novos alvos, testar infraestrutura, ou pode estar ligada a eventos geopolíticos”, disse ele ao Cointelegraph.
O Lazarus Group levou 10 dias para lavar 100% dos fundos roubados da Bybit por meio do protocolo descentralizado cross-chain THORChain, informou o Cointelegraph em 4 de março.
