Un hacker di Coinbase Commerce si sveglia e incanala 5,4 milioni di dollari in Tornado Cash

Il portafoglio collegato all'attacco hacker di Coinbase Commerce (2024) è tornato in vita dopo quasi due anni di inattività. I ​​dati on-chain mostrano che l'aggressore ha iniziato a spostare fondi a gennaio 2026. Con i nuovi movimenti, ha depositato finora 5,4 milioni di dollari in Ethereum su Tornado Cash .

Prima dei depositi, l'indirizzo collegato al furto ha trasferito circa 5,8 milioni di dollari in DAI su un nuovo portafoglio. Quei DAI sono stati scambiati con Ether. Gli ETH sono stati quindi suddivisi in più depositi e l'attività di Tornado Cash ha seguito un chiaro schema di batching. L'aggressore ha inviato venti depositi da 100 ETH, seguiti da importi inferiori. Questi includevano 10 ETH, 1 ETH e trasferimenti frazionari. Tuttavia, un portafoglio separato collegato all'aggressore detiene ancora circa 4,6 milioni di dollari in DAI.

Ciò avviene in un momento in cui il mercato globale delle criptovalute sta affrontando una forte pressione di vendita. Ethereum è sceso di quasi il 10% negli ultimi 7 giorni. ETH era scambiato nell'intervallo tra $ 3.100 e $ 3.700 nell'aprile 2024, quando si è verificato l'exploit. Al momento, Ether è scambiato a un prezzo medio di $ 2.890.

Sfruttamento di Coinbase Commerce

L'dent tracalla data segnalata nell'aprile 2024. L'investigatore on-chain ZachXBT ha segnalato deflussi sospetti da untracCoinbase Commerce in quel momento. Il 21 aprile 2024, iltracha registrato oltre 1.700 deflussi di USDC in un intervallo di 16 ore su Polygon. Il valore totale ha raggiunto i 15,97 milioni di dollari.

Lo schema suggeriva che un commerciante che utilizzava Coinbase Commerce fosse stato sfruttato. I fondi furono prosciugati in ripetuti trasferimenti. Gli USDC rubati furono successivamente trasferiti da Polygon a Ethereum. Furono scambiati con Ether e suddivisi in tre wallet.

L'aggressore ha ripreso l'attività dopo quasi due anni di inattività e ora sta depositando fondi rubati in Tornado Cash.

Finora sono stati depositati complessivamente 5,4 milioni di dollari.

Prima di ciò, l'indirizzo del furto ha trasferito 5,8 milioni di DAI a un nuovo portafoglio, che è stato successivamente scambiato con... https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U

— Specter (@SpecterAnalyst) 26 gennaio 2026

Poco dopo il furto, un autore della minaccia che utilizzava l'alias "Excite" ha iniziato a discutere dei fondi in chat private. ZachXBT ha collegato queste affermazioni agli indirizzi collegati ai deflussi. Ha menzionato che nel maggio 2024, un utente Telegram che utilizzava l'handle "tezedasads12" ha inviato una transazione da 1 DAI. Il trasferimento è stato utilizzato per dimostrare il controllo su un portafoglio contenente circa 6 milioni di dollari provenienti dal furto.

Lo stesso attore ha rivendicato la proprietà del nome utente Instagram "Excite". Ha anche tentato di acquistare un nome utente Telegram corrispondente, ma non ci è riuscito. L'account Instagram era inizialmente privato, ma in seguito è diventato pubblico. L'account mostrava orologi di lusso e altri oggetti di valore.

ZachXBT ha affermato che informazioni di intelligence open source suggerivano che l'individuo potesse risiedere in Danimarca. Tale dettaglio non è stato confermato in modo indipendentedentDopo la fase iniziale di riciclaggio, la maggior parte dei fondi ha smesso di circolare. I portafogli collegati all'exploit sono diventati inattivi. Nel frattempo, una porzione minore di fondi è stata successivamente instradata attraverso exchange decentralizzati e piattaforme di staking. Tali transazioni sono state utilizzate per spostare asset in nuovi portafogli.

Un indirizzo di deposito ha mostrato un'elevata esposizione a infrastrutture di drenaggio note. Gli investigatori hanno segnalato questo come un segnale di rischio. I Tornado Cash segnano la prima importante attività legata all'exploit in quasi due anni. 

Coinbase hackerato 2025

Il caso si aggiunge a una serie didentdi sicurezza legati a Coinbase. Nel maggio 2025, Coinbase ha rivelato un altro attacco informatico. L'azienda ha affermato che l'dent potrebbe costare fino a 400 milioni di dollari. In quel caso, gli aggressori hanno ottenuto dati limitati sui clienti pagandotrace dipendenti. I dati sono stati utilizzati per impersonare Coinbase e ingannare gli utenti.

Coinbase ha affermato che meno dell'1% dei clienti è stato colpito. Gli aggressori hanno richiesto 20 milioni di dollari e Coinbase si è rifiutata di pagare. Le chiavi private non sono state compromesse. Tuttavia, l'azienda ha affermato che avrebbe rimborsato gli utenti interessati.