A exchange de criptomoedas BitoPro, com sede em Taiwan, confirmou uma violação de segurança que resultou na perda de mais de US$ 11,5 milhões em ativos digitais de suas hot wallets em 8 de maio.
As transações suspeitas ocorreram em hot wallets nas redes Ethereum, Tron, Solana e Polygon, com os ativos sendo transferidos para exchanges descentralizadas (DEXs), onde foram posteriormente marcados como vendidos, segundo o investigador on-chain ZachXBT.
Apesar do incidente, a BitoPro não divulgou publicamente a exploração no X ou no Telegram por várias semanas, afirmou ZachXBT em uma publicação no X em 2 de junho.
Dados da blockchain mostram que os ativos foram depositados no mixer de criptomoedas Tornado Cash ou enviados para a rede Bitcoin por meio da THORChain, padrões comumente utilizados por invasores para anonimizar e dificultar o rastreamento dos fundos.
Em 9 de maio, a BitoPro anunciou um período de manutenção na exchange, que foi encerrado no mesmo dia. No entanto, muitos usuários relataram dificuldades para sacar USDt (USDT) desde então.
O Cointelegraph entrou em contato com a BitoPro para comentar o caso, mas não havia recebido resposta até o momento da publicação.
Exchange confirma violação semanas depois
Três semanas após o incidente, a BitoPro confirmou que sofreu uma exploração em sua carteira. Em uma publicação no Telegram em 2 de junho, a exchange afirmou que a violação ocorreu durante uma atualização no sistema de carteiras, quando um invasor explorou uma “hot wallet antiga” durante uma realocação interna de fundos.
A plataforma afirmou possuir “reservas suficientes de ativos virtuais” e que os saques de usuários estão “totalmente inalterados”.
Depósitos, saques e todas as funções de negociação permaneceram operacionais, e uma empresa terceirizada de segurança blockchain foi contratada para rastrear os fundos roubados, acrescentou a empresa.
Buscando maior transparência, a BitoPro afirmou que divulgará em breve o novo endereço da hot wallet para investigação externa.
Protocolos DeFi seguem como principais alvos de hackers
Hackers continuam mirando o crescente valor bloqueado em exchanges e protocolos de finanças descentralizadas (DeFi).
Em 22 de maio, a exchange descentralizada Cetus foi explorada em mais de US$ 220 milhões, mas validadores conseguiram congelar US$ 162 milhões, que foram devolvidos ao protocolo após votação de governança em 30 de maio.
Em 2 de junho, a rede blockchain modular Nervos sofreu uma exploração de US$ 3 milhões em ativos digitais.
Segundo a Cyvers Alerts, os fundos roubados foram todos convertidos em Ether (ETH) por meio do Tornado Cash, enquanto a equipe “suspendeu todos os contratos e está investigando ativamente o incidente”, conforme publicado no X em 2 de junho.
De acordo com analistas da empresa de segurança blockchain Hacken, os invasores levaram mais de seis horas e realizaram múltiplas tentativas fracassadas antes de conseguir roubar os fundos.
“Falhas no controle de acesso são hoje uma das ameaças mais críticas na Web3”, disse um analista da Hacken ao Cointelegraph, acrescentando que a ferramenta “Extractor” foi desenvolvida justamente para identificar sinais de alerta de explorações semelhantes em tempo real.