US$ 71 milhões em criptomoedas roubadas de um recente esquema de envenenamento de carteira foram devolvidos à vítima em uma reviravolta feliz, porém misteriosa.
O invasor desconhecido devolveu US$ 71 milhões em tokens de Ether (ETH) em 12 de maio, após o incidente de phishing de alto perfil chamar a atenção de várias empresas de investigação em blockchain. A empresa de segurança on-chain Lookonchain detalhou os acontecimentos em uma postagem no X em 13 de maio:
“O SlowMist_Team divulgou um relatório sobre este incidente há 3 dias, rastreando múltiplos IPs dos invasores possivelmente de Hong Kong (o uso de VPNs não foi descartado). Após isso, o invasor respondeu à baleia e devolveu todos os fundos.”
Este desenvolvimento surpreendente vem após o ataque de 3 de maio, quando um investidor enviou US$ 71 milhões em Wrapped Bitcoin (WBTC) para um endereço de carteira isca, sendo vítima de um golpe de envenenamento de carteira. O golpista criou um endereço de carteira com caracteres alfanuméricos semelhantes e fez uma pequena transação para a conta da vítima.
Assim como a maioria dos investidores, a vítima validou o endereço da carteira correspondendo aos primeiros e últimos caracteres e transferiu 97% de seus ativos para ele. No entanto, a diferença teria sido perceptível nos caracteres do meio, frequentemente ocultados em plataformas para melhorar o apelo visual.
Hacker de chapéu branco, bom samaritano ou ladrão assustado?
Apesar de devolver todos os fundos roubados, as transações on-chain que antecederam o evento sugerem que essa não era a intenção inicial do invasor.
Após receber os fundos roubados, o invasor converteu imediatamente os 1.155 WBTC em aproximadamente 23.000 ETH — uma prática comum de hackers maliciosos que pode ajudar a lavar fundos roubados por meio de protocolos de privacidade e serviços de mistura de criptomoedas, como o Tornado Cash.
Em 8 de maio, o invasor começou a distribuir os fundos por mais de 400 carteiras de criptomoedas, que acabaram sendo distribuídos em mais de 150 carteiras separadas, antes de devolver os ativos.
A devolução dos fundos ocorreu logo após a empresa de segurança on-chain SlowMist publicar uma análise sobre os possíveis IPs com base em Hong Kong do invasor, sugerindo que o ladrão ficou assustado com as potenciais consequências.
O roubo de US$ 71 milhões é apenas uma pequena parte das tentativas de phishing associadas ao ladrão de WBTC, de acordo com um relatório de incidente de 10 de maio do SlowMist:
"Ao investigar este endereço de taxa, observamos que, de 19 de abril a 3 de maio, este endereço iniciou mais de 20.000 pequenas transações, distribuindo pequenas quantias de ETH para vários endereços com fins de phishing."
O valor de criptomoedas roubadas por hacks e golpes caiu para US$ 25,7 milhões em abril, marcando a menor cifra histórica desde 2021, quando a empresa de inteligência on-chain CertiK começou a rastrear os dados.