US$ 6,2 milhões foram roubados da Saga, empresa de exploração de terras, no Tornado Cash

Dos fundos roubados durante a exploração da vulnerabilidade SagaEVM, US$ 6,2 milhões foram tracaté depósitos no Tornado Cash, um serviço de mistura de privacidade no Ethereum que ajuda a ocultar os rastros das transações. 

Essa tática é comum entre hackers que tentam lavar quantias consideráveis ​​de dinheiro roubado e tornar a recuperação praticamente impossível. 

A vulnerabilidade que tinha como alvo a SagaEVM, descrita como um ataque de nível 1 (L1) para lançar ataques de nível 1 (L1), ocorreu em 21 de janeiro. Após o incidentedenta equipe publicou no X que o ataque de nível 1 havia sido pausado na altura do bloco 6593800 em resposta à vulnerabilidade confirmada na cadeia SagaEVM.

Como os hackers lavaram os fundos roubados 

De acordo com o relatório da empresa de segurança blockchain CertiK, os atacantes inicialmente distribuíram os fundos por cinco carteiras diferentes antes de os canalizarem para o misturador de privacidade através de múltiplas transações. 

“A mitigação está em andamento e a equipe está totalmente focada em encontrar uma solução”, escreveu na época. 

A exploração resultou na transferência de quase US$ 7.000.000 em USDC, yUSD, ETH e tBTC para a rede principal Ethereum . A carteira do explorador foidente fornecida a corretoras e plataformas de interconexão para que fosse incluída em listas negras e, possivelmente, para recuperar os fundos roubados. 

Segundo o relatório da Certik, US$ 6,2 milhões desses fundos foram divididos em depósitos que alimentam o sistema Tornado Cash . Espera-se que isso dificulte os esforços de remediação e recuperação. 

O último depósito aumenta a notoriedade do Tornado Cash, somando-se a um passado conturbado com sanções dos EUA e problemas legais que ainda afetam seus desenvolvedores. 

Os atacantes continuam a usá-lo para ocultar seus rastros após a exploração da vulnerabilidade, e ele faz exatamente o que foi projetado para fazer — ajudá-los a desaparecer. 

O que aconteceu com o SagaEVM? 

De acordo com um relatório pós-incidente compartilhado pela equipe em 21 de janeiro, odent envolveu uma sequência coordenada de implantações detrac, atividade entre cadeias e subsequentes retiradas de liquidez.

O documento revelou que a equipe pausou a cadeia por precaução enquanto investigava e mitigava os riscos. O foco era impedir maiores impactos, mantendo o SagaEVM pausado durante a implementação de medidas de mitigação; validando o alcance total do ataque usando dados de arquivo e tracde execução; e reforçando os componentes relevantes antes de reiniciar o sistema. 

Os principais componentes afetados pela exploração incluem o chainlet SagaEVM, bem como Colt e Mustang. Outros, como a rede principal Saga SSC, o consenso do protocolo Saga, a segurança do validador e outros chainlets Saga, não foram afetados. 

“Não houve falha de consenso, comprometimento de validadores ou vazamento de chaves de assinatura”, dizia. “A estrutura da rede Saga como um todo permanece sólida.” 

A equipe afirmou que seus próximos passos seriam concluir a validação da causa raiz, corrigir e reforçar os componentes afetados de implantação e de cadeia cruzada, coordenar com os parceiros do ecossistema quando relevante e publicar uma análise técnica mais abrangente após o incidente. 

A vulnerabilidade está ligada ao Cosmos 

Após receberem suporte dos Cosmos Labs, a equipe revelou que o problema teve origem no código-fonte original do Ethermint, sendo, portanto, um problema herdado. 

Em resposta a essa publicação, Cosmos Labs divulgou um comunicado admitindo estar ciente do incidentedent afirmando que tem trabalhado em estreita colaboração com a Saga e parceiros de segurança externos para investigar e remediar a "vulnerabilidade confirmada". 

Eles revelaram que entraram em contato com um subconjunto de blockchains EVM que consideraram afetadas pelodent e forneceram medidas mitigadoras de curto prazo. 

“Como sempre, recomendamos que todos os projetos continuem a implementar práticas básicas de segurança, como limitação de taxa e monitoramento de segurança, para fortalecer a detecção e mitigação precoces”, escreveram no X.