Atak hakerski na Ethereum. „Czarny kwiecień”. Setki nieaktywnych portfeli opróżnionych – ile ubyło?
Kryptowaluty

Atak hakerski na Ethereum. „Czarny kwiecień”. Setki nieaktywnych portfeli opróżnionych – ile ubyło?

Przez Artur Goniec (Argonauta)

Najświeższy incydent na rynku Ethereum pokazuje coś znacznie poważniejszego niż pojedynczy hack: stare, nieaktywne portfele stają się systemowym słabym punktem całego ekosystemu. Atak na ponad 500 adresów sugeruje, że problem nie dotyczy jednorazowego włamania, lecz długotrwałych luk w bezpieczeństwie, które dopiero teraz są wykorzystywane.

To sygnał, że w krypto czas nie zawsze działa na korzyść inwestora – szczególnie jeśli chodzi o bezpieczeństwo kluczy. Incydent został zidentyfikowany m.in. przez analityka on-chain WazzCrypto. W kwietniu odnotowano 28 do 30 dużych incydentów bezpieczeństwa w krypto, a łączne straty w tym miesiącu przekroczyły 635 mln USD. Od tej strony to jeden z najgorszych miesięcy dla ETH w histori. Atak nie dotyczy smart kontraktów, tylko dostępu do portfeli.

Najważniejsze fakty

  • Ponad 500 długo nieaktywnych portfeli Ethereum zostało opróżnionych, wiele z nich pozostawało bez aktywności przez 4 do 8 lat
  • Łączne straty wynoszą ok. 800 tys. USD, a co najmniej 260 ETH (~600 tys. USD) trafiło na adres phishingowy „Fake_Phishing2831105”
  • Następnie wykonano transfer 324,741 ETH do THORChain (router v4.1.1) – wyższa wartość transferu sugeruje agregację środków z wielu portfeli

Zapomniane portfele nie są bezpieczne – są łatwym celem

To, co wyróżnia ten incydent, to profil ofiar. Nie są to aktywni użytkownicy DeFi ani świeże przypadki phishingu. To portfele, które przez lata pozostawały nietknięte od lat. To sugeruje, że luka bezpieczeństwa mogła istnieć od dawna, ale dopiero teraz została wykorzystana. Innymi słowy: ktoś nie włamał się „tu i teraz” – tylko uzyskał dostęp do danych, które mogły być skompromitowane lata temu.

Ścieżka środków jest typowa dla bardziej zaawansowanych operacji. Najpierw ETH trafia na jeden adres phishingowy, gdzie następuje konsolidacja. To tłumaczy, dlaczego końcowy transfer 324,741 ETH jest większy niż początkowe 260 ETH – środki zostały zebrane z wielu źródeł. Kolejny etap to wykorzystanie THORChain, czyli narzędzia umożliwiającego przenoszenie wartości między blockchainami. To znacząco utrudnia śledzenie i odzyskanie środków, ponieważ transakcje wychodzą poza jeden ekosystem.

O Ethereum pisaliśmy w artykule Wieloryb Ethereum obudził się po 10 latach snu. „Zły omen”. Co zrobił?

Gdzie naprawdę leży problem

Najważniejsze wnioski nie dotyczą samego ataku, lecz jego przyczyn. Wszystko wskazuje na to, że problem leży poza smart kontraktami – w samych fundamentach self-custody. Najbardziej prawdopodobne scenariusze obejmują stare klucze prywatne generowane przy użyciu słabszych narzędzi, seed phrase’y przechowywane w niebezpieczny sposób, a także dane wyciekłe z menedżerów haseł lub przestarzałego oprogramowania.

To oznacza jedno: nawet jeśli blockchain działa bez zarzutu, najsłabszym ogniwem pozostaje użytkownik i jego sposób przechowywania dostępu. Incydent wpisuje się w szerszy trend. Sam kwiecień przyniósł od 28 do 30 poważnych naruszeń bezpieczeństwa w świecie krypto, a łączne straty przekroczyły 635 mln USD. Co istotne, coraz więcej tych przypadków nie dotyczy błędów w kodzie smart kontraktów, lecz problemów z kluczami, dostępem i infrastrukturą. Czyli obszarów trudniejszych do zabezpieczenia i monitorowania.

Rynek reaguje. Poważny atak?

Społeczność jest podzielona. Część traktuje to jako poważne ostrzeżenie (mimo relatywnie niewielkiej skali), ale dla długoterminowych inwestorów i dowód na to, że bezpieczeństwo w krypto nadal ma fundamentalne luki.

Inni sugerują, że w pojedynczych przypadkach może chodzić o konsolidację środków przez właścicieli. Jednak wzorzec przepływów: szczególnie wykorzystanie mechanizmów utrudniających śledzenie wskazuje, że mamy do czynienia z realnym zagrożeniem.

Najważniejsza lekcja z tego incydentu jest brutalnie prosta: brak aktywności nie oznacza bezpieczeństwa. W rzeczywistości może oznaczać dokładnie odwrotną sytuację. Stare portfele stają się coraz bardziej atrakcyjnym celem. A im dłużej pozostają bez nadzoru, tym większe ryzyko, że ktoś inny w końcu się nimi „zainteresuje”.

O sytuacji na rynku Bitcoina pisaliśmy w artykule Glassnode: Bitcoin napotkał żelazny opór. „Niewystarczające napływy”. Możliwa fala spadków?

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Sprawdź!
Artur Goniec (Argonauta)

Artur Goniec (Argonauta) – Główny analityk

Analityk rynków finansowych, gospodarki i kryptowalut, związany z rynkiem od 2008 roku. Specjalizuje się w analizie bieżących wydarzeń gospodarczych, trendów rynkowych oraz sektorów wysokiego ryzyka, w tym rynku kryptoaktywów i inwestycji alternatywnych. W latach 2008–2015 rozwijał kompetencje w obszarze finansów, modelowania finansowego i zarządzania inwestycjami.

Autor licznych analiz i komentarzy poświęconych tematom z pogranicza finansów, gospodarki i rynku kapitałowego. Jako pierwszy opisywał szczegółowo głośne afery, m.in. wokół imperum Palikota, dewelopera HREIT, KTS Weszło czy systemu kaucyjnego. Przeprowadził pierwszy w Polsce wywiad-rzekę z pionierem AI, Louisem Rosenbergiem. W pracy stawia na własny research, analizę danych i wyjaśnianie złożonych zjawisk w przystępnej formie. Aktywnie śledzi rynki i procesy gospodarcze, łącząc praktykę inwestycyjną z pracą analityczną.