Alguém acabou de drenar carteiras Ethereum dormentes há muito esquecidas, e a causa pode remontar a anos atrás

Centenas de carteiras Ethereum que permaneceram intocadas durante anos foram esvaziadas para o mesmo endereço identificado, transformando a exposição antiga de chaves no aviso de segurança cripto mais grave desta semana.

A 30 de abr., o WazzCrypto assinalou o incidente que afetou carteiras da mainnet no X, e o aviso propagou-se rapidamente porque as contas afetadas não pareciam ser hot wallets recentemente comprometidas. Eram carteiras antigas com históricos discretos, algumas ligadas a ativos e ferramentas de uma era anterior do Ethereum.

Mais de 260 ETH, aproximadamente $600.000, foram drenados de centenas de carteiras dormentes. Mais de 500 carteiras parecem ter sido afetadas, com perdas totalizando cerca de $800.000, e muitas carteiras estiveram inativas durante quatro a oito anos. O endereço Etherscan relacionado está identificado como Fake_Phishing2831105, mostra 596 transações e regista uma movimentação de 324,741 ETH para o THORChain Router v4.1.1 em torno da janela de 30 de abr.

O elemento comum entre todas elas é o mais importante por agora: carteiras inativas há muito tempo foram movidas para um destino comum, enquanto o vetor de comprometimento permanece por resolver.

Esse vetor por resolver torna a drenagem o aviso mais grave desta semana, na sequência de um aumento de ataques a DeFi. Os exploits de protocolos geralmente fornecem aos investigadores um contrato, uma chamada de função ou uma transação privilegiada para analisar.

Aqui, a questão central situa-se na camada da carteira. Alguém obteve frase-semente antigas, decifrou chaves geradas com fraca entropia, utilizou material de chave privada vazado, abusou de uma ferramenta que anteriormente manipulava chaves, ou explorou outro vetor que ainda não emergiu?

A discussão pública gerou teorias que incluem fraca entropia em ferramentas de carteira antigas, mnemonics comprometidas, manuseamento de chaves por trading-bots e armazenamento de frase-semente da era LastPass. Um utilizador afetado levantou pessoalmente a teoria do LastPass.

O conselho prático para os utilizadores é limitado, mas urgente. A inatividade não mitiga o risco da chave privada. Uma carteira com valor depende do historial completo da chave, da frase-semente, do dispositivo que a gerou, do software que a tocou e de cada local onde esse segredo possa ter sido armazenado.

Para os utilizadores, a resposta passa provavelmente por fazer um inventário das carteiras antigas de alto valor, mover fundos apenas após configurar novo material de chave através de hardware de confiança ou software de carteira moderno, e evitar introduzir sementes antigas em verificadores, scripts ou ferramentas de recuperação desconhecidas. Revogar aprovações ajuda na exposição a protocolos, incluindo o aviso aos utilizadores da Wasabi, mas uma drenagem direta de carteira aponta primeiro para a segurança das chaves e não para as aprovações de tokens.

Abril alargou a superfície de controlo

O conjunto de carteiras surgiu em meio ao registo de exploits cripto de abril, que já estava elevado. Os relatórios ligados à DefiLlama apontaram abril para cerca de 28 a 30 incidentes e mais de $625 milhões em fundos roubados. A 1 de maio, a API ao vivo da DefiLlama mostrou 28 incidentes em abril totalizando $635.241.950.

Uma publicação de mercado de 1 de maio capturou o ponto de pressão: as drenagens de carteiras desta semana, o exploit de chave de administrador do Wasabi Protocol, e as maiores perdas DeFi de abril atingiram todas superfícies de controlo que os utilizadores comuns raramente inspecionam. A ligação ao longo do mês é arquitetural e não atribucional.

Os caminhos de administrador tornaram-se caminhos de ataque

O Wasabi Protocol fornece o exemplo de protocolo mais recente e claro. O exploit de 30 de abr. terá drenado cerca de $4,5 milhões a $5,5 milhões depois de um atacante ter obtido autoridade de deployer/administrador, concedido ADMIN_ROLE a contratos controlados pelo atacante e utilizado upgrades de proxy UUPS para drenar vaults e pools no Ethereum, Base e Blast. Os primeiros alertas de segurança sinalizaram o padrão de admin-upgrade à medida que o ataque se desenrolava.

A mecânica reportada coloca a gestão de chaves no centro do incidente. A capacidade de atualização pode ser uma infraestrutura de manutenção normal. A autoridade de atualização concentrada transforma esse caminho de manutenção num alvo de alto valor. Se um deployer ou conta privilegiada puder alterar a lógica de implementação entre chains, o perímetro em torno de um contrato auditado pode desaparecer assim que essa autoridade for comprometida.

Este é o problema voltado para o utilizador oculto em muitas interfaces DeFi. Um protocolo pode apresentar contratos abertos, front ends públicos e linguagem de descentralização, enquanto o poder crítico de atualização ainda reside num pequeno conjunto de chaves operacionais.

Os signatários e verificadores sofreram as maiores perdas

O Drift empurrou o mesmo problema de controlo para o fluxo de trabalho dos signatários. A Chainalysis descreveu engenharia social, transações durable nonce, colateral falso, manipulação de oracle e uma migração de Conselho de Segurança 2 de 5 com zero-timelock. A Blockaid estimou a perda em cerca de $285 milhões e argumentou que a simulação de transações e políticas mais rigorosas de co-assinatura poderiam ter alterado o resultado.

O caso Drift é relevante aqui porque o vetor não dependeu de um simples bug de função pública. Dependeu de um fluxo de trabalho em que assinaturas válidas e mecanismos de governança rápidos podiam ser direcionados para uma migração hostil. Um processo de signatário tornou-se a superfície de controlo.

O KelpDAO deslocou o teste de stress para a verificação cross-chain. A declaração do incidente descreveu uma configuração de bridge em que a rota rsETH utilizava a LayerZero Labs como único verificador DVN. As análises forenses descreveram nós RPC comprometidos e pressão DDoS a alimentar dados falsos para um caminho de verificação de ponto único.

O resultado, segundo a Chainalysis, foi 116.500 rsETH, no valor de cerca de $292 milhões, libertados contra uma queima inexistente. O contrato de token podia permanecer intacto enquanto a bridge aceitava uma premissa falsa. É por isso que uma falha do verificador pode tornar-se um problema de estrutura de mercado quando o ativo bridged está dentro de mercados de empréstimo e pools de liquidez.

A IA pertence à discussão sobre velocidade

Considero que o Project Glasswing merece uma menção especial aqui para contexto, separada da causalidade. A Anthropic afirma que o Claude Mythos Preview encontrou milhares de vulnerabilidades de software de alta gravidade e demonstra como a IA pode comprimir a descoberta de vulnerabilidades. Isso eleva o nível para os defensores, mas o registo causal nestes incidentes cripto aponta para chaves, signatários, poderes de administrador, verificação de bridges, dependências de RPC e exposição de carteiras por resolver.

As implicações de segurança continuam a ser sérias. A descoberta mais rápida dá a atacantes e defensores mais superfície paralela para trabalhar. Também torna os atalhos operacionais antigos mais dispendiosos porque segredos dormentes, chaves privilegiadas e caminhos de verificador único podem ser testados mais rapidamente do que as equipas conseguem revê-los manualmente.

A lista de reparações é operacional

Os controlos que derivam de abril situam-se acima e em torno da base de código.

Para os protocolos, a prioridade é reduzir o que qualquer autoridade singular pode fazer de uma só vez. Isso implica timelocks nas operações de administrador, limiares de signatários mais robustos e estáveis, filas de transações privilegiadas monitorizadas, limites explícitos nas alterações de parâmetros e sistemas de co-assinatura que simulam os efeitos das transações antes de os humanos as aprovarem.

Para as bridges, a prioridade é a verificação independente e as verificações de invariantes. Uma mensagem cross-chain deve ser testada em relação ao facto económico que afirma representar. Se rsETH sair de um lado, o sistema deve verificar a alteração de estado correspondente no outro lado antes de o lado de destino libertar valor. Essa monitorização precisa de existir fora do mesmo caminho que assina a mensagem.

Para os utilizadores, a lista de reparações é mais pequena. Mova fundos antigos de valor para novas chaves através de um processo em que já confia. Separe essa ação da limpeza de aprovações específicas do protocolo. Trate cada afirmação sobre a causa raiz da drenagem de carteiras como provisória até que o trabalho forense identifique uma ferramenta comum, um caminho de armazenamento ou uma fonte de exposição.

O próximo teste

Abril provou que a lista de verificação de segurança do utilizador médio está provavelmente incompleta. Auditorias, contratos públicos e interfaces descentralizadas podem coexistir com autoridade de administrador concentrada, procedimentos de signatários fracos, verificação de bridges frágil e segredos antigos de carteiras.

O próximo trimestre recompensará a prova em detrimento da linguagem de descentralização: poderes de atualização restringidos, timelocks visíveis, caminhos de verificador independentes, simulação de transações para ações privilegiadas, controlos de acesso disciplinados e rotação de chaves documentada.

As drenagens de carteiras dormentes mostram a versão desconfortável do lado do utilizador do mesmo problema. Um sistema pode parecer tranquilo enquanto uma falha de controlo antiga aguarda em segundo plano. A vaga de exploits de abril expôs essa camada acima do código; a próxima fase mostrará quais as equipas que a tratam como segurança central antes de os fundos serem movidos.

The post Someone just drained long-forgotten dormant Ethereum wallets, and the cause may trace back years appeared first on CryptoSlate.