L'hacker di Upbit potrebbe usare Railgun per mischiare fondi. Nonostante i controlli del mixer, gli indirizzi degli hacker non sono stati segnalati e le transazioni sono state autorizzate a proseguire.
L'analisi on-chain ha mostrato che gli indirizzi collegati all'attacco hacker di Upbit utilizzavano il mixer Railgun. Il mixer esegue un controllo a conoscenza zero per l'origine dei fondi. Questa volta, tuttavia, il controllo non ha impedito che i fondi venissero mischiati.
Upbit è stata hackerata per oltre 36 milioni di dollari , di cui oltre 30 milioni in Solana . L'attacco multi-chain ha portato a scambi immediati e movimenti di fondi tra wallet.
L'hacker ha venduto la maggior parte degli asset quasi immediatamente, in particolare Solana . L'investigatore on-chain @dethective ha notato che la vendita ha avuto un effetto sui volumi del mercato decentralizzato. Il giorno dopo l'hack, i wallet dell'aggressore hanno scambiato Solana con SOL. Successivamente, i SOL sono stati scambiati con USDC e le stablecoin sono state collegate a Ethereum per il mixing.
In totale, l'hacker deteneva oltre 533 ETH al netto delle commissioni, per un valore di circa 1,6 milioni di dollari. Il passaggio a Ethereum e il successivo mixaggio sono un modello solitamente attribuito agli hacker nordcoreani.
Upbit ha anche aggiunto nuove informazioni sull'attacco hacker. Secondo una dichiarazione dell'exchange, l'exploit potrebbe essere dovuto a una falla nel sistema interno dell'exchange, che è stata corretta. Upbit ha affermato che l'hacker potrebbe aver dedotto le chiavi private da hot wallet disponibili al pubblico grazie a un hashing delle chiavi prevedibile e a una crittografia debole.
Railgun non aveva le ultime informazioni sui portafogli degli hacker
L'approccio di Railgun consiste nel testare i wallet di ciascun utente confrontandoli con database costantemente aggiornati per individuare malintenzionati. In questo caso, l'elenco completo degli indirizzi dell'hacker era molto recente. Inoltre, l'exploit ha attraversato diversi scambi diretti DEX e parte dei fondi è stata trasferita su nuovi wallet. I dati a disposizione di Railgun erano quindi obsoleti e l'ultimo wallet dell'hacker ha superato il test.
L'ultimo portafoglio intercettato ha riciclato un totale di 410 ETH . Il nuovo indirizzo è stato creato poche ore dopo l'attacco hacker ed è stato utilizzato brevemente come intermediario. Il rapido cambio di portafoglio ha inoltre eluso i filtri di Railgun.
Railgun utilizzato per attività DeFi
Railgun ha guadagnato popolarità durante la recente rinascita della narrativa sulla privacy. Railgun ha ampliato il suo patrimonio, con di 95 milioni di dollari a novembre 2025. L'aumento di valore segnala un interesse crescente, con il mixer che ha raggiunto commissioni per 1,31 milioni di dollari nel terzo trimestre.
L'utilizzo dei mixer è cresciuto nell'ultimo anno. Tornado Cash, che in precedenza registrava solo un'attività di base, ha aumentato il suo valore bloccato a un nuovo picco. Il mixer detiene oltre 32.000 ETH, a seguito di molteplici exploit di alto profilo.
Anche il token nativo RAIL è cresciuto di oltre il 200% negli ultimi tre mesi, raggiungendo quota 3,26 dollari . Railgun ha rispecchiato il successo di ZCash e di altri token per la privacy, ed è stato promosso anche da Vitalik Buterin.
Railgun non è uno strumento di riferimento per hacker e sfruttatori. Piuttosto, è stato uno strumento di privacy generale per le transazioni regolari. Gli influencer del settore crypto e le personalità di alto profilo mirano alla privacy, poiché anche i dati delle transazioni possono portare a traco persino a oscillazioni di prezzo.
Tuttavia, anche l'utilizzo di Railgun può essere trac. Inoltre, gli indirizzi degli hacker possono utilizzare strumenti per verificare quali wallet verrebbero segnalati da Railgun. Ciò consentirebbe agli hacker di continuare a nascondere i proventi degli exploit, la maggior parte dei quali non sonotrac.
