Um hacker cripto aparentemente assumiu o controle da carteira multisig de uma baleia minutos após sua criação, há 44 dias, e desde então vem drenando e lavando os fundos em etapas.
Em uma publicação no X na quinta-feira, a empresa de segurança em blockchain PeckShield informou que a carteira multisig de uma baleia foi drenada em cerca de US$ 27,3 milhões devido ao comprometimento de uma chave privada. A PeckShield observou que o invasor já lavou aproximadamente US$ 12,6 milhões, ou 4.100 Ether (ETH), por meio do Tornado Cash e manteve cerca de US$ 2 milhões em ativos líquidos, além de controlar uma posição comprada alavancada no Aave (AAVE).
No entanto, novas descobertas de Yehor Rudytsia, chefe de perícia da Hacken Extractor, indicam que as perdas totais podem ultrapassar US$ 40 milhões e que o incidente provavelmente começou muito antes, com os primeiros sinais de roubo datando de até 4 de novembro.
Rudytsia disse ao Cointelegraph que a carteira multisig rotulada como “comprometida” talvez nunca tenha sido controlada de forma significativa pela vítima. Dados on-chain mostram que a multisig foi criada pela conta da vítima em 4 de novembro, às 7h46 UTC, mas a propriedade foi transferida ao invasor apenas seis minutos depois. “Muito provavelmente, o autor do roubo criou essa multisig e transferiu fundos para lá, em seguida trocando rapidamente o proprietário para si mesmo”, disse Rudytsia.
Invasor joga no longo prazo
Uma vez no controle, o invasor parece ter agido com paciência. Ele fez depósitos no Tornado Cash em lotes ao longo de várias semanas, começando com 1.000 ETH em 4 de novembro e continuando até meados de dezembro em transações menores e escalonadas. Cerca de US$ 25 milhões em ativos também permanecem na multisig ainda controlada pelo invasor, segundo Rudytsia.
Ele também levantou preocupações sobre a estrutura da carteira. A multisig foi configurada como “1-de-1”, o que significa que apenas uma assinatura era necessária para aprovar transações, “o que não é conceitualmente uma multisig”, acrescentou Rudytsia.
Abdelfattah Ibrahim, auditor de aplicações descentralizadas (DApp) da Hacken, disse que vários vetores de ataque continuam possíveis. Eles incluem malware ou infostealers no dispositivo do signatário, ataques de phishing que induzem usuários a aprovar transações maliciosas ou práticas ruins de segurança operacional, como armazenar chaves em texto simples ou usar a mesma máquina para vários signatários.
“Evitar isso envolveria isolar dispositivos de assinatura como dispositivos frios e verificar transações além da interface do usuário”, disse Ibrahim.
Modelos de IA capazes de explorar contratos inteligentes
Como noticiou o Cointelegraph, uma pesquisa recente da Anthropic e do grupo Machine Learning Alignment & Theory Scholars (MATS) constatou que os principais modelos de IA atuais já são capazes de desenvolver explorações reais e lucrativas de contratos inteligentes.
Em testes controlados, o Claude Opus 4.5 e o Claude Sonnet 4.5, da Anthropic, e o GPT-5, da OpenAI, geraram conjuntamente explorações avaliadas em US$ 4,6 milhões, mostrando que a exploração autônoma é tecnicamente viável com modelos disponíveis comercialmente.
Em testes adicionais, o Sonnet 4.5 e o GPT-5 foram aplicados a quase 2.850 contratos inteligentes lançados recentemente, sem vulnerabilidades conhecidas. Os modelos identificaram duas falhas de zero-day até então desconhecidas e produziram explorações avaliadas em US$ 3.694, ligeiramente acima do custo de API de US$ 3.476 necessário para gerá-las.
