Sem saída

Hacker roubou mais de US$ 600 milhões da Ronin. O que acontece agora?

Após um dos maiores hacks da história do DeFi, o hacker da rede Ronin do Axie Infinity tem opções limitadas

Por  CoinDesk

A comunidade cripto ficou abalada na terça-feira (29) com a exploração que drenou US$ 625 milhões da Ronin (RON), a blockchain que abriga o popular jogo Axie Infinity (AXS). O ataque entrou para a lista dos maiores hacks da história da Web 3.

Mas apesar de a soma ser extremamente alta, especialistas disseram ao CoinDesk em uma série de entrevistas que é improvável que o criminoso consiga desfrutar de seus ganhos ilícitos.

Até onde as criptomoedas vão chegar? Qual a melhor forma de comprá-las? Nós preparamos uma aula gratuita com o passo a passo. Clique aqui para assistir e receber a newsletter de criptoativos do InfoMoney

Na terça-feira, a desenvolvedora do Axie, a Sky Mavis, anunciou em uma postagem no blog que o hack resultou em perdas de mais de 173 mil unidades de Ethereum (ETH) e US$ 25,5 milhões em USD Coin ( USDC).

Imediatamente após o episódio, no entanto, especialistas notaram que o hacker usou exchanges centralizadas para abastecer o endereço utilizado para lançar o ataque. Além disso, eles depositaram milhares de ETH em corretoras, incluindo Huobi, FTX e Crypto.com – um movimento que muitos especialistas em segurança caracterizaram como um provável passo em falso.

Como essas plataformas têm sistemas de verificação de identidade, esses depósitos podem ser usados para descobrir a identidade do hacker e, finalmente, forçá-lo a devolver os valores.

“Se eu estivesse no lugar deles, procuraria sair dessa situação o mais rápido possível”, disse o cofundador da empresa de análise de blockchain Elliptic, Tom Robinson, ao CoinDesk. “Isso pode incluir devolver o dinheiro.”

Ingenuidade?

O método usado atualmente pelo invasor de tentar lavar fundos por meio de exchanges centralizadas pareceu estranho a vários especialistas do setor.

“É incomum ver esses fluxos diretos de fundos roubados para grandes exchanges”, disse Robinson. “Eles podem ter comprado contas ou podem estar usando um intermediário para lavar em seu nome.”

Em uma reportagem exclusiva publicada em outubro, o CoinDesk descobriu que existe um mercado negro florescente de contas verificadas em exchanges centralizadas. No entanto, Robinson observou que as corretoras usadas, incluindo FTX e Crypto.com, têm uma forte reputação em questões de compliance regulatório e verificação de identidade.

Ao todo, ele caracterizou os atuais esforços do hacker para lavar o dinheiro roubado como “surpreendentemente ingênuos”.

“Isso não combina com a sofisticação que aparentemente exigiria comprometer esses validadores e obter suas chaves privadas”, acrescentou.

Uma estratégia mais comum dos exploradores é usar um mixer (misturador de criptos) como o Tornado Cash, enviar fundos roubados por meio de exchanges sem verificação de identidade e geralmente “não se apressar em sacar tudo imediatamente, talvez esperando anos”, disse Robinson.

De fato, a comunidade cripto ficou confusa com a estratégia adotada pelo invasor para lavar os fundos.

Como costuma ser o caso após um ataque, os usuários do Ethereum têm usado a rede para se comunicar com o invasor. Em uma das conversas, um indivíduo tentou dar dicas ao invasor sobre como lavar melhor seus ETH.

“Olá, [seu] depósito inicial foi da Binance, tenha cuidado e certifique-se de usar tornado.cash, você deve deixar os fundos por vários dias ou pode ser rastreado”, escreveram para o endereço do invasor dentro de uma transação na rede Ethereum.

“Depois, você deve usar o stealthex.io para trocar por outras moedas por um longo período. Obrigado, sinta-se à vontade para dar uma gorjeta/e me aposentar.”

No entanto, mesmo com ferramentas rigorosas de preservação de privacidade e um plano cuidadoso, Robinson disse ao CoinDesk que é extraordinariamente difícil lavar uma quantia tão grande quanto US$ 600 milhões. De fato, apesar dos supostos lavadores tomarem várias precauções ao longo dos anos, as autoridades dos EUA apreenderam no mês passado US$ 3,6 bilhões em Bitcoins (BTC) relacionados ao hack da Bitfinex em 2016.

  • Assista: Para onde vai o Bitcoin após bater máxima do ano? Analistas explicam movimento e fazem projeções

Investigação

A identificação de hackers provou ser uma tática bem-sucedida para os desenvolvedores no passado. Se a Axie tiver informações sobre o invasor, isso pode ajudar na recuperação dos fundos.

Quando contatada pelo CoinDesk, a empresa de investigação de blockchain Chainalysis se recusou a comentar, citando que está envolvida na investigação em andamento.

Em setembro do ano passado, em um dos hacks mais pitorescos da história da blockchain, os desenvolvedores do token não fungível (NFT) Jay Pegs Auto Mart usaram táticas curiosas para fazer um hacker devolver fundos roubados – uma delas, por exemplo, foi encomendar uma sopa de missô (pasta preparada com soja) para a casa dele.

O ex-CTO da Sushi (SUSHI) Joseph Delong, que esteve envolvido nas negociações do Jay Pegs, disse que identificar um hacker pode ajudar a “evitar uma fuga anônima” e aumentar a pressão pública.

“As pessoas vão ficar com raiva de você ter enganado o hacker, mas esses ‘criptoanarquistas’ podem se ferrar com seu complexo de superioridade”, falou Delong em uma entrevista na terça-feira.

“Não acho que seja possível lavar US$ 600 milhões”, disse Adrian Hetman, especialista em DeFi da Immunefi, um serviço que oferece recompensas para aqueles que acham bugs (falhas) em plataformas da Web 3.

“O melhor cenário é que, em vez de invadir um protocolo com intenção maliciosa, você deve usar esse conhecimento para encontrar falhas e enviá-las para uma plataforma de recompensas – você pode facilmente se tornar um milionário.”

Delong, da Sushi, também observou que dar opções ao hacker pode ser uma ferramenta útil, como um “programa de recompensas claro e parceiros como a Immunefi para ajudar”.

De fato, a Immunefi está entre os inúmeros serviços que surgiram para proteger o ecossistema DeFi e Web 3 das marés crescentes de hacks. Só a Immunefi pagou US$ 20 milhões em recompensas por bugs e atualmente tem US$ 120 milhões disponíveis para “white hats”, termo utilizado para identificar hackers “bonzinhos” que, em vez de praticar crimes, usam suas habilidades para encontrar vulnerabilidades em sistemas e relatá-las.

A história mostra que tentar roubar e lavar US$ 625 milhões pode ter sido a opção mais barata para o atacante. Em agosto passado, um hacker que conseguiu desviar US$ 611 milhões da Poly Network finalmente devolveu os fundos depois de decidir que seria impossível sacá-los.

“Acho que ou ele é pego ou é forçado a devolver os fundos. Ou ambos”, falou Hetman sobre o hacker da Ronin.

Motivações ideológicas

No pior cenário para o Axie Infinity, no entanto, o explorador pode nem se importar com o dinheiro.

“Acho que – fundamentalmente – a ideologia do atacante é a principal coisa a se considerar quando se trata do tamanho do valor adquirido por meio de hacks”, disse Laurence E. Day, desenvolvedor e acadêmico de blockchain.

“Se eles simplesmente fizeram isso para enviar uma mensagem sobre vulnerabilidade ou ‘porque eles podem, e que se danem as consequências’, a pergunta ‘valeu a pena?’ depende se eles consideram essa autovalidação suficiente para sua habilidade.”

Day está intimamente familiarizado com hackers que desejam apenas espalhar uma mensagem. Em outubro do ano passado, um protocolo para o qual contribuiu, o Indexed Finance, foi explorado por Andean “Andy” Medjedovic, um adolescente canadense prodígio da matemática.

Apesar de a equipe revelar quem é Medjedovic e levar o caso ao tribunal, ele até agora se recusou a devolver os fundos. Em uma série de tuítes publicados em uma conta que afirma ser de Medjedovic, ele enquadrou o confronto como um “duelo” e uma “luta até a morte”.

Embora Medjedovic esteja atualmente foragido da lei, o incidente lhe rendeu notoriedade significativa, o que pode ter sido sua principal motivação.

No entanto, Day observou que, se o hacker Ronin estiver interessado em fama e não em dinheiro, até mesmo esse objetivo final parece ser um jogo perdido: eles podem nunca ser capazes de reivindicar o ataque sem serem pegos.

“Vimos repetidas vezes que o ego é a ruína das pessoas que fazem explorações (de sistemas), e imagino que seria muito difícil nunca ser capaz de assumir isso da mesma maneira que negociar uma recompensa de white hat e tornar-se um deus aos olhos da comunidade permitiria”, disse Day.

Até onde as criptomoedas vão chegar? Qual a melhor forma de comprá-las? Nós preparamos uma aula gratuita com o passo a passo. Clique aqui para assistir e receber a newsletter de criptoativos do InfoMoney

Compartilhe