$6.2 milhões dos fundos roubados durante a exploração do SagaEVM foram rastreados para depósitos no Tornado Cash, um misturador de privacidade no Ethereum que ajuda a obscurecer as trilhas de transação.
A tática é comum entre hackers que tentam lavar consideráveis fundos roubados e tornar a recuperação quase impossível.
A exploração que visou o SagaEVM, descrita como um L1 para lançar L1s, ocorreu em 21 de janeiro. Após o incidente, a equipe postou no X que o L1 havia sido pausado na altura do bloco 6593800 em resposta à exploração confirmada na cadeia SagaEVM.
Como os hackers lavaram os fundos roubados
De acordo com o relatório da empresa de segurança de blockchain CertiK, os atacantes inicialmente distribuíram os fundos em cinco carteiras separadas antes de canalizá-los para o mixer de privacidade por meio de várias transações.
“A mitigação está em andamento, e a equipe está totalmente focada em uma solução,” a equipe escreveu na época.
A exploração viu quase $7.000.000 em USDC, yUSD, ETH e tBTC transferidos para a mainnet Ethereum. A carteira do explorador foi identificada e alimentada a exchanges e pontes para colocá-la na lista negra e possivelmente reivindicar os fundos roubados.
De acordo com o relatório da Certik, $6,2 milhões desses fundos agora foram divididos em depósitos alimentados no mixer Tornado Cash. Espera-se que isso frustre os esforços de remediação e recuperação.
O último depósito acrescenta à notoriedade do Tornado Cash, somando-se a um passado manchado por sanções dos EUA e problemas legais que ainda atormentam seus desenvolvedores.
Os atacantes continuam a usá-lo para obscurecer suas trilhas após a exploração, e faz exatamente o que foi projetado para fazer — ajudá-los a desaparecer.
O que aconteceu com o SagaEVM?
De acordo com um post-mortem que a equipe compartilhou em 21 de janeiro, o incidente envolveu uma sequência coordenada de implantações de contratos, atividade cross-chain e retiradas de liquidez subsequentes.
O documento revelou que a equipe pausou a cadeia por precaução excessiva enquanto investigava e mitigava ativamente. Revelou que o foco era parar mais impactos mantendo o SagaEVM pausado enquanto a mitigação é implementada; validando o raio total de explosão usando dados de arquivo e rastros de execução; e endurecendo os componentes relevantes antes de um reinício.
Os principais componentes afetados pela exploração incluem a cadeia SagaEVM, bem como Colt e Mustang. Outros, como a mainnet Saga SSC, consenso do protocolo Saga, segurança do validador e outras cadeias Saga, não foram afetados.
“Não houve falha de consenso, comprometimento de validador ou vazamento de chave de assinante”, dizia o documento. “A rede Saga mais ampla permanece estruturalmente sólida.”
A equipe afirmou que seus próximos passos seriam completar a validação da causa raiz, corrigir e fortalecer os componentes afetados da implantação e cross-chain, coordenar com parceiros do ecossistema onde relevante e publicar um post-mortem técnico mais abrangente.
Links de vulnerabilidade voltam para Cosmos
Após receber apoio dos engenheiros da Cosmos Labs, a equipe revelou que o problema se originou da base de código original do Ethermint, tornando-se um problema herdado.
Em resposta a esse post, a Cosmos Labs compartilhou uma declaração, admitindo que está ciente do incidente e alegando que está trabalhando em estreita colaboração com a Saga e parceiros de segurança externos para investigar e remediar a “vulnerabilidade confirmada.”
Eles revelaram que contataram um subconjunto de cadeias EVM que consideraram afetadas pelo incidente e forneceram mitig ações de curto prazo.
“Como sempre, recomendamos que todos os projetos continuem a implementar práticas básicas de segurança, como limitação de taxa e monitoramento de segurança para fortalecer a detecção e mitigação precoce,” eles escreveram no X.
Se você está lendo isso, já está à frente. Fique lá com nosso boletim.