Back to Blog

Estudio de Caso de Flujo de Fondos Ilícitos: Phishing de 55 Millones de DAI

MetaSleuth
November 6, 2024
4 min read

Antecedentes del Caso

El 20 de agosto de 2024, una transacción de phishing generó ganancias de más de 54M del token estable DAI. La dirección drenada es una bóveda financiada por Gemini, y la dirección asociada "Propietario de Bóveda Maker" es 0xf2b8. El phisher atrajo a la víctima (el propietario original de la bóveda) para que firmara una transacción para cambiar el propietario de la bóveda a una dirección controlada por el phisher y luego ejecutó una transacción para drenar la bóveda.

Análisis del Flujo de Dinero

El 20 de agosto de 2024, el propietario original de la bóveda víctima fue engañado para firmar una transacción que cambiaba el propietario de la bóveda a una dirección controlada por el phisher. Aproximadamente cinco horas después, el phisher envió una transacción para cambiar aún más el propietario a una nueva dirección. 20 minutos después de que la nueva dirección obtuviera el control total de la bóveda, firmó una transacción que extrajo 55M DAI de la bóveda.

Luego, en el transcurso de dos horas, todos los tokens DAI obtenidos ilegalmente fueron transferidos a direcciones intermediarias controladas por el phisher y no quedó nada en la dirección inicial que drenó la bóveda. Hay un total de seis direcciones intermediarias directamente conectadas a la dirección 0x5D4b (es decir, a un salto de distancia de la dirección inicial). La mayoría de los tokens DAI (44M) se transfieren directamente a las direcciones intermediarias, mientras que 10M se intercambian por el token nativo (3880) ETH y luego se mueven a la dirección 0x8cc5. El DEX utilizado para el intercambio es CoW Protocol: GPv2Settlement. La transacción de intercambio: 0x7c63.

El gráfico de flujo de fondos para el DAI extraído desde la dirección original 0x5D4b hasta las direcciones intermediarias a 1 salto de distancia.

Tras transferir los fondos ilícitos a las direcciones intermediarias a 1 salto, el atacante comenzó a mover los fondos en lotes hacia direcciones más profundas. Durante el proceso de transferencia, el phisher fue intercambiando gradualmente el DAI en poder de las direcciones intermediarias por ETH. En las direcciones intermediarias a 4 saltos de la dirección inicial, todo el DAI robado ya había sido convertido en ETH. Estos activos ilícitos, en forma de ETH, fluyeron hacia exchanges centralizados (eXch, KuCoin, ChangeNOW) y puentes entre cadenas (THORChain, Hop Protocol). (Haga clic en el nombre para explorar estas direcciones de retiro de fondos.) Ejemplos de transacciones que depositan ganancias ilícitas en eXch: 0x2e42, 0xa982, 0x1e1e, 0xb7a9. Ejemplos de transacciones que mueven ganancias ilícitas a THORChain: 0x5c06, 0xf824, 0x391e.

Una parte del flujo de fondos desde las direcciones de capa 2 (a 2 saltos de la dirección inicial) hasta las direcciones de capa 5:

Entre las transferencias de ganancias ilícitas hacia direcciones intermediarias más profundas, el camino de transferencia más largo alcanzó hasta 12 saltos, donde aproximadamente 80 mil dólares fueron movidos al exchange KuCoin 17. Como ilustra el siguiente gráfico de flujo de fondos, entre el 21 y el 22 de agosto de 2024, el atacante transfirió gradualmente 38 ETH al exchange centralizado a través de una ruta de 12 saltos.

Para evitar llamar demasiado la atención con grandes montos de transferencia, los perpetradores tienden a dividir grandes fondos entre múltiples direcciones y usar transferencias más pequeñas para mover los activos hacia direcciones más profundas. Un ejemplo de cómo se dividieron 1,65M DAI en 36 pequeñas partes, procesadas por una dirección a 1 salto 0x860c:

Algunas Direcciones y Transacciones Relevantes

Direcciones Transacciones Flujos de Dinero Ilícito
0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 0xa11e, 0x9ef1 1,650,000 DAI
0xdd6397104d57533e507bd571ac88c4b24852bce9 0x7af2, 0x1d45 36,733,858 DAI
0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc 0x7e10, 0x5d08 3879 ETH + 1,825,000 DAI
0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 0xee0d 875 ETH
0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e 0xf97a, 0xbc5c 2164 ETH

Resumen del flujo de fondos:

Explore los detalles en MetaSleuth: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation