O aplicativo descentralizado FixedFloat sofre um hack de US$ 26 milhões

Há poucos dias, o aplicativo descentralizado não KYC FixedFloat sofreu um ataque de hack em sua infraestrutura, resultando em perdas de 26 milhões de dólares.

De acordo com a empresa de auditoria e análise de blockchain PeckShield, um total de 1728 ETH e 409 BTC foram roubados: parte do dinheiro foi então lavado passando por misturadores descentralizados e transações coinjoin.

A FixedFloat afirmou que os fundos dos usuários estão seguros e que o hack não comprometeu a estabilidade financeira do aplicativo de troca de criptografia.

Todos os detalhes abaixo.

Vulnerabilidade na estrutura do FixedFloat: o aplicativo descentralizado sofre um hack de US$ 26 milhões em BTC e ETH

No sábado, 17 de fevereiro, o aplicativo descentralizado de troca de criptomoedas FixedFloat foi vítima de um hack que causou perdas de 26 milhões de dólares em BTC e ETH.

Tudo começou quando vários usuários relataram ter transações congeladas e falta de fundos em suas contas; pouco depois, foi descoberto por meio de análise on-chain que vários milhões de dólares foram drenados para várias carteiras externas não reconhecidas.

Embora ainda não esteja claro como o ataque ocorreu, a equipe do FixedFloat explicou prontamente que se tratava de um “pequeno problema técnico” no momento do incidente.

O mesmo anunciou que os recursos serão devolvidos aos usuários da plataforma e que o hack não comprometeu a estabilidade financeira da empresa.

De qualquer forma, no momento em que escrevo o artigo o aplicativo descentralizado permanece inativo e em modo de manutenção, mas será reaberto em um futuro não especificado, assim que for seguro usá-lo.

Aqui está o que foi relatado no X pelo Fixed FixedFloat após o hack:

A bolsa descentralizada é conhecida pelos seus serviços não KYC, que dispensam registo no clássico procedimento “Conheça o seu Cliente”, permitindo uma vantagem competitiva em termos de privacidade.

Ao oferecer aos seus clientes a possibilidade de permanecer anônimo e permitir transações em Bitcoin através da Lightning Network, a FixedFloat atraiu uma ampla gama de usuários dos Estados Unidos.

Em parte, a característica do anonimato e a falta de controles internos favoreceram o ataque de hackers maliciosos, que não precisaram fornecer seus dados pessoais para acessar o aplicativo.

De acordo com a empresa de segurança cibernética e análise de blockchain PeckShield, o roubo equivale a precisamente 1728 ETH, no valor de 4.85 milhões de dólares, e 409 BTC, no valor de quase 21 milhões de dólares.

A maior parte do ether do hack já foi transferida para uma ampla gama de exchanges descentralizadas na blockchain Ethereum.

A FixedFloat informou que está trabalhando com autoridades policiais, empresas forenses de blockchain e bolsas de criptomoedas para rastrear os hackers, que ainda não contataram a bolsa. 

A empresa declarou que honrará todas as suas obrigações de pagamento assim que retomar as operações e tiver certeza de que a exchange estará segura para uso novamente.

Parte do BTC roubado do hack foi reciclado por meio de uma operação coinjoin

Embora o ETH roubado do hack do aplicativo descentralizado FixedFloat tenha sido facilmente movido para dezenas de endereços diferentes e circulado através do blockchain Ethereum, os BTC que fazem parte do mesmo saque estão prestes a ser reciclados com transações coinjoin.

Lembramos que coinjoin é um tipo de operação Bitcoin, teorizada pela primeira vez por Gregory Maxwell em 2013, na qual vários pagamentos BTC são combinados em uma única transação, dificultando a determinação de quais endereços gastaram qual valor.

Semelhante ao que acontece com misturadores descentralizados como o Tornado Cash, as transações coinjoin são combinadas para fazer uma única transação em um pool conjunto, do qual os depositantes podem então solicitar a devolução de seus fundos “agrupados” e anônimos.

No nosso caso, o hacker explorou uma espécie de mixer que utiliza um método para aumentar a privacidade semelhante ao coinjoin, onde vários BTC já foram trocados.

Em particular, podemos afirmar que de acordo com o que foi explicado por um pesquisador web3 em X, parte dos fundos roubados, para ser mais preciso 2.7544 BTC, fluiu para o endereço

34F2Jjmzo4N3kz3zVVBbqr3nn6NkvQvNjA, que pertence ao CEX TradeOgre.

Este dinheiro poderia representar a comissão paga pelo agente mal-intencionado para usar o mixer, que parece estar vinculado ao aplicativo Whirpool que implementa um sistema avançado de privacidade.

Acredita-se que 166 dos 409 BTC roubados do aplicativo descentralizado FixedFloat já passaram pelo mixer da Whirpool.

Incidentes como esse são comuns em ambientes criptográficos, especialmente em ambientes não KYC que de alguma forma protegem o anonimato dos hackers.

De acordo com a empresa de pesquisa forense on-chain Chainalysis, apesar dos inúmeros incidentes registrados em 2023 hacks e exploits estão diminuindo em comparação com o ano anterior, quando houve um boom de roubos.

No geral, o valor dos fundos hackeados diminuiu cerca de 54.3% em comparação com 2022, com um montante total roubado de aproximadamente 1.7 mil milhões de dólares, derivado principalmente de hacks de aplicações DeFi.