Circa 63 milioni di dollari in depositi su Tornado Cash sono stati collegati alla compromissione di wallet crypto da 282 milioni di dollari avvenuta il 10 gennaio.
La società di sicurezza blockchain CertiK ha dichiarato lunedì, in un post su X, che i suoi sistemi di monitoraggio hanno identificato interazioni con Tornado Cash riconducibili all’exploit.
L’aggiornamento amplia l’analisi dei meccanismi di riciclaggio post-furto dell’incidente del 10 gennaio, che viene monitorato da numerosi investigatori crypto a causa dell’entità delle perdite e della rapidità con cui i fondi sono stati movimentati.
Il diagramma di CertiK mappa il percorso del riciclaggio
Secondo l'analisi di CertiK, una parte dei Bitcoin (BTC) rubati è stata trasferita su Ethereum, convertita in Ether e poi suddivisa tra diversi indirizzi.
CertiK ha scoperto che almeno 686 BTC sono stati trasferiti su Ethereum utilizzando uno swap cross-chain, con il risultato che un singolo indirizzo Ethereum ha ricevuto 19.600 Ether (ETH).
I fondi sono stati poi suddivisi su più wallet, con diverse centinaia di ETH inviati da ciascun indirizzo prima di entrare in Tornado Cash, un protocollo di mixing incentrato sulla privacy.
La cifra di 63 milioni di dollari rappresenta solo una parte dell'importo totale perso. Tuttavia, il movimento dei fondi mostra come l'autore dell'attacco stia lavorando per nascondere le tracce dopo i trasferimenti cross-chain iniziali durante l'exploit.
Le possibilità di recupero sono “quasi nulle” una volta entrate nei mixer
I movimenti dei fondi osservati nella violazione del 10 gennaio riflettono un copione di riciclaggio ormai consolidato, secondo Marwan Hachem, CEO della società di sicurezza blockchain FearsOff.
“Questo flusso segue piuttosto fedelmente il classico schema di riciclaggio su larga scala, soprattutto nei furti cross-chain che coinvolgono BTC e LTC”, ha dichiarato Hachem a Cointelegraph.
Hachem ha spiegato che l’utilizzo di THORswap per le conversioni da Bitcoin a Ether e la successiva suddivisione dei fondi in circa 400 tranche di ETH prima dell’ingresso nel mixer sono passaggi “da manuale”, poiché contribuiscono a ridurre l’attenzione e a rendere il recupero post-mixing significativamente più complesso.
“Tornado Cash è un vero e proprio kill switch per la tracciabilità”, ha aggiunto, sottolineando che le probabilità di recupero “scendono quasi a zero” nella maggior parte dei casi dopo che i fondi entrano in un mixer.
Secondo Hachem, le opzioni di mitigazione successive ai depositi nei mixer sono limitate e sempre meno affidabili.
Un attacco di social engineering compromette la seed phrase
Come riportato in precedenza da Cointelegraph, il furto del 10 gennaio è stato ricondotto a un attacco di social engineering che ha indotto la vittima a rivelare la propria seed phrase.
L’investigatore blockchain ZachXBT ha affermato che l’attaccante si è spacciato per personale dell’assistenza del wallet, ottenendo così il controllo completo sui fondi della vittima. Il wallet compromesso conteneva circa 1.459 BTC e oltre 2 milioni di Litecoin (LTC).
Una parte degli asset sottratti è stata inoltre convertita in asset digitali orientati alla privacy.
In precedenza, la società di sicurezza ZeroShadow aveva dichiarato che circa 700.000 $ dei fondi rubati erano stati segnalati e congelati nelle prime fasi del processo di riciclaggio, sebbene la stragrande maggioranza degli asset sia finita fuori portata.
