Hackerata una balena delle criptovalute per 27,3 milioni di dollari

Un'esperta di criptovalute ha visto i suoi fondi spazzati via da un exploit sul suo portafoglio multifirma 1-1, che ha sottratto oltre 25 milioni di dollari in asset digitali.

Giovedì, la società di sicurezza blockchain PeckShield ha emesso un avviso su X, segnalando che la balena era stata hackerata per circa 27,3 milioni di dollari. I fondi rubati vengono incanalati tramite lo strumento di privacy on-chain Tornado Cash in lotti da 100 ETH, secondo i dati di Etherscan.

#PeckShieldAlert Il conto Multisig di una balena è stato svuotato di circa 27,3 milioni di dollari a causa di una violazione della chiave privata.

Il truffatore ha riciclato 12,6 milioni di dollari (4.100 $ETH) tramite #TornadoCash e conserva circa 2 milioni di dollari in attività liquide.

Il drainer controlla anche il multisig della vittima, che mantiene un long a leva… pic.twitter.com/1Ulk4X7bkl

— PeckShieldAlert (@PeckShieldAlert) 18 dicembre 2025

PeckShield ha affermato che l'aggressore ha preso il controllo della chiave privata e si è reso unico firmatario del portafoglio multisig. Una volta ottenuto l'accesso, il drainer ha iniziato atracmaticasset e a riciclarli on-chain.

L'hacker del portafoglio multisig detiene ancora 2 milioni di dollari dei fondi rubati

Secondo PeckShield, l'aggressore, che utilizza l'indirizzo 0x1fCf…367d23Ac, ha già riciclato circa 12,6 milioni di dollari, equivalenti a 4.100 Ether, tramite Tornado Cash. La società di sicurezza ha aggiunto che l'aggressore detiene ancora circa 2 milioni di dollari in liquidità, in base ai saldi dei wallet osservati al momento della segnalazione.

Diversi analisti della sicurezza ritengono che l'attaccante abbia il controllo del portafoglio multisig della vittima, che detiene attivamente una posizione con leva finanziaria su Aave. Secondo quanto riportato, il portafoglio contiene circa 25 milioni di dollari in Ether , forniti come garanzia a fronte di un prestito di circa 12,3 milioni di dollari in DAI.

L'indirizzo dell'aggressore, condiviso pubblicamente da PeckShield, contiene Ether, Wrapped Ether, OKB, Trust Wallet Token, Bitfinex LEO, Fetch e Nexo. Finora hanno depositato Ether rubati in Tornado Cash in lotti di pari dimensioni per un totale di 4.100 Ether, suddivisi in 41 transazioni da 100 Ether ciascuna.

Mercoledì sera, la società di analisi blockchain Specter ha fornito ulteriori dettagli sulla violazione, pubblicando una descrizione dettagliata della sequenza dell'attacco. L'analista ha affermato che la compromissione della chiave privata di una vittima ha portato le perdite totali derivanti dall'incidentedent circa 38 milioni di dollari.

Secondo Specter, la vittima ha creato un portafoglio multifirma configurato come sistema 1-of-1 l'11 aprile 2025 alle 07:48:11. Poco dopo aver trasferito i fondi nel portafoglio, il portafoglio principale, designato come firmatario, ha subito un massiccio deflusso alle 08:23:23.

Sebbene la causa precisa della violazione rimanga poco chiara, Specter ha ipotizzato che la chiave privata potrebbe essere trapelata durante il processo di configurazione multifirma. Un'altra possibilità è che la vittima si sia affidata a un malintenzionato per ottenere assistenza durante la creazione del portafoglio multifirma.

Secondo tracdalla piattaforma di analisi Onchainlens, Whale 0xde5f44…b051e965 aveva subito perdite notevoli a maggio, e l'investitore aveva ritirato 2.520,5 Ether, per un valore di circa 4,52 milioni di dollari all'epoca, da OKX e li aveva investiti in Kiln Finance.

Nel corso dell'anno, la balena avrebbe investito un totale di 9.918 Ether, per un valore di 22,58 milioni di dollari intorno a luglio. Nonostante avesse guadagnato 105,5 Ether in ricompense di staking, l'investitore ha comunque subito una perdita netta di circa 4,26 milioni di dollari prima che si verificasse l'ultimo exploit.

I portafogli multisig possono essere hackerati senza la soglia di firma necessaria

La maggior parte dei membri della comunità crypto crede nella dei wallet multisig perché richiedono l'approvazione di due o più entità prima di eseguire una transazione. Alcune configurazioni in questi tipi di wallet includono sistemi come 2-of-3 o 3-of-5, in cui il primo numero nel sistema rappresenta la soglia del detentore della chiave che deve approvare uno swap o un'operazione di trading. 

Tuttavia, configurazioni come quella 1-of-1, in cui è richiesto un solo firmatario, compromettono il vantaggio principale della protezione multifirma. In questi casi, la compromissione di una singola chiave può portare alla perdita totale, come sembra essere accaduto nel caso della balena 0xde5f44…b051e965. 

In un caso separato visto a settembre di quest'anno, un investitore in criptovalute nondentha perso oltre 3 milioni di dollari dopo aver autorizzato inconsapevolmente untracdannoso. L'investigatore blockchain ZachXBT ha segnalato l'dent sul suo canale Telegram, rivelando che il portafoglio della vittima è stato prosciugato di 3,047 milioni di dollari in USDC e scambiato con Ether per essere instradato tramite Tornado Cash.

Il fondatore di SlowMist, Yu Xian, ha poi spiegato che l'indirizzo compromesso in quel caso era un portafoglio multisig Safe 2-of-4. Ha continuato dicendo che iltracfraudolento imitava il primo e l'ultimo carattere dell'indirizzo reale, rendendo l'inganno difficile da individuare. 

L'aggressore ha anche sfruttato il meccanismo Safe Multi Send, nascondendo l'approvazione dannosa all'interno di un'autorizzazione di routine. "Questa autorizzazione anomala è stata difficile da rilevare perché non si trattava di un'approvazione standard", ha scritto Xian su X.