Les enquêteurs on-chain ont noté plusieurs
Ethereum
wallets siphonnés après jusqu'à sept ans d'inactivité. L'exploitation a causé jusqu'à 800K $ de pertes, avec les fonds déplacés et mélangés via ThorChain.
Dans un post sur X (anciennement Twitter), l'utilisateur @WazzCrypto a révélé que des centaines de wallets ont vu leurs fonds siphonnés. Bien que le siphonage de wallets ne soit pas un nouveau type d'attaque, une chose qui a retenu l'attention cette fois-ci est que les wallets touchés étaient inactifs depuis jusqu'à 7 ans. En plus de l'enregistrement on-chain, au cours des 24 dernières heures, certains utilisateurs ont confirmé sur X que leurs wallets avaient été drainés.
L'attaque en cours a principalement touché les portefeuilles âgés de 4 à 8 ans, selon les données en chaîne. Le portefeuille le plus ancien n'avait pas bougé de fonds depuis près de 14 ans. Même des utilisateurs de crypto avancés et expérimentés ont signalé que leurs portefeuilles avaient été vidés après aucune interaction connue avec des contrats intelligents ou des protocoles.
La partie la plus inquiétante de l'attaque est le vecteur inconnu pour compromettre les clés privées du portefeuille. Les utilisateurs peuvent prévenir des pertes en déplaçant préventivement des fonds vers un nouveau stockage avec une clé privée générée en toute sécurité.
L'attaque Ethereum balaie des centaines de portefeuilles
L'attaquant a balayé plus de 500 portefeuilles, collectant 2 ETH pour échanger contre du XMR pour la confidentialité. Les portefeuilles contenaient non seulement de l'ETH, mais aussi d'autres actifs, et certaines des tâches ont peut-être été effectuées manuellement, comme l'a noté le chercheur en chaîne @tayvano. Certains des portefeuilles n'ont pas été complètement vidés, et les chercheurs continuent de chercher des signes de filtrage ou de regroupement de portefeuilles.
Suite au premier balayage d'actifs, les attaquants sont passés à mélanger les coins et les tokens, similaire à d'autres hacks récents en DeFi. Les actions étaient similaires à d'autres tentatives de dissimuler des fonds effectuées par des hackers de la RPDC.
Un total de 324.741 ETH a été transféré en tant qu'actifs enveloppés sur le réseau Bitcoin en utilisant ThorChain. Environ 32 000 $ en ETH étaient stockés dans un autre portefeuille. Une partie des fonds a été échangée contre 9.56 BTC.
Les portefeuilles peuvent être exposés par des bots de trading, des contrats, ou des attaques npm.
Une explication possible inclut des bases de données de clés privées fuitées, activées après des années pour réclamer des coins. D'autres hypothèses incluent une utilisation défaillante du portefeuille Electrum, qui a été lié à des versions contaminées. Il est possible que certaines des anciennes adresses se trouvaient dans une base de données de clés compromises.
Comme l'a rapporté Cryptopolitan, des attaques similaires se sont produites en lien avec la violation de LastPass. Une des hypothèses est qu'un autre lot de portefeuilles et de mots de passe a été exposé.
Les récentes attaques de vidage de portefeuilles se sont produites quelques jours après le hack de Bitwarden, mais d'autres attaques de chaîne d'approvisionnement npm ont montré qu'il est possible de voler des cryptos depuis des portefeuilles chauds.
Une autre explication possible est l'utilisation de bots de trading, qui nécessitent souvent que l'utilisateur saisisse une clé privée.
La récente vague d'attaques a conduit à une baisse de confiance dans les protocoles DeFi, et continue de renforcer l'argument contre les efforts pour présenter Ethereum et d'autres chaînes comme adaptés à des activités financières à grande échelle.