Back to Blog

Estudo de Caso de Fluxo de Fundos Ilícitos: Phishing de US$ 55 milhões em DAI

MetaSleuth
November 6, 2024
4 min read

Contexto do Caso

Em 20 de agosto de 2024, uma transação de phishing lucrou mais de 54M do token estável DAI. O endereço drenado é um cofre financiado pela Gemini, e o endereço associado "Proprietário do Cofre Maker" é 0xf2b8. O phisher atraiu a vítima (a proprietária original do cofre) para assinar uma transação para alterar o proprietário do cofre para um endereço controlado pelo phisher e, em seguida, executou uma transação para drenar o cofre.

Análise do Fluxo de Dinheiro

Em 20 de agosto de 2024, o proprietário original do cofre da vítima foi enganado para assinar uma transação que alterou o proprietário do cofre para um endereço controlado pelo phisher. Cerca de cinco horas depois, o phisher enviou uma transação para alterar ainda mais o proprietário para um novo endereço. 20 minutos após o novo endereço obter controle total sobre o cofre, ele assinou uma transação que sugou 55M de DAI do cofre.

Em seguida, dentro de duas horas, todos os tokens DAI adquiridos ilegalmente foram transferidos para endereços downstream controlados pelo phisher e nada restou no endereço inicial que drenou o cofre. Há um total de seis endereços downstream diretamente conectados ao endereço 0x5D4b (ou seja, a um salto do endereço inicial). A maioria dos tokens DAI (44M) é transferida diretamente para endereços downstream, enquanto 10M são trocados pelo token nativo (3880) ETH e então movidos para o endereço 0x8cc5. A DEX utilizada para a troca foi o CoW Protocol: GPv2Settlement. A transação de troca: 0x7c63.

O gráfico de fluxo de fundos para o DAI sugado do endereço original 0x5D4b para os endereços downstream a 1 salto.

Após transferir os fundos ilícitos para os endereços downstream a 1 salto, o atacante começou a mover os fundos em lotes para endereços mais profundos. Durante o processo de transferência, o phisher foi gradualmente trocando o DAI mantido pelos endereços downstream por ETH. Nos endereços downstream a 4 saltos do endereço inicial, todo o DAI roubado já havia sido trocado por ETH. Esses ativos ilícitos, na forma de ETH, então fluíram para exchanges centralizadas (eXch, KuCoin, ChangeNOW) e pontes cross-chain (THORChain, Hop Protocol). (Clique no nome para explorar esses endereços de saque.) Exemplos de transações depositando ganhos ilícitos na eXch: 0x2e42, 0xa982, 0x1e1e, 0xb7a9. Exemplos de transações movendo ganhos ilícitos para o THORChain: 0x5c06, 0xf824, 0x391e.

Uma parte do fluxo de fundos dos endereços da camada 2 (a 2 saltos do endereço inicial) para os endereços da camada 5:

Entre as transferências de ganhos ilícitos para endereços downstream mais profundos, o caminho de transferência mais longo atingiu até 12 saltos, onde cerca de 80 mil dólares foram movidos para a exchange KuCoin 17. Como ilustra o gráfico de fluxo de fundos abaixo, entre 21 e 22 de agosto de 2024, o atacante transferiu gradualmente 38 ETH para a exchange centralizada por um caminho de 12 saltos.

Para evitar chamar atenção excessiva com grandes valores de transferência, os perpetradores tendem a dividir grandes fundos entre múltiplos endereços e usar transferências menores para mover os ativos para endereços mais profundos. Um exemplo de divisão de 1,65M de DAI em 36 pequenas partes, processado por um endereço a 1 salto 0x860c:

Alguns Endereços e Transações Relevantes

Endereços Transações Fluxos de Dinheiro Ilícito
0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 0xa11e, 0x9ef1 1.650.000 DAI
0xdd6397104d57533e507bd571ac88c4b24852bce9 0x7af2, 0x1d45 36.733.858 DAI
0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc 0x7e10, 0x5d08 3879 ETH + 1.825.000 DAI
0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 0xee0d 875 ETH
0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e 0xf97a, 0xbc5c 2164 ETH

Visão geral do fluxo de fundos:

Explore os detalhes no MetaSleuth: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation