Contexto do Caso
Em 20 de agosto de 2024, uma transação de phishing lucrou mais de 54M do token estável DAI. O endereço drenado é um cofre financiado pela Gemini, e o endereço associado "Proprietário do Cofre Maker" é 0xf2b8. O phisher atraiu a vítima (a proprietária original do cofre) para assinar uma transação para alterar o proprietário do cofre para um endereço controlado pelo phisher e, em seguida, executou uma transação para drenar o cofre.

- Endereço de Phishing: 0x0000db5c8b030ae20308ac975898e09741e70000
- Endereço que Drenou o Cofre: 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
- Transações que alteraram o Proprietário: 0x2805, 0xb721
- Transação de Drenagem: 0xf700
Análise do Fluxo de Dinheiro
Em 20 de agosto de 2024, o proprietário original do cofre da vítima foi enganado para assinar uma transação que alterou o proprietário do cofre para um endereço controlado pelo phisher. Cerca de cinco horas depois, o phisher enviou uma transação para alterar ainda mais o proprietário para um novo endereço. 20 minutos após o novo endereço obter controle total sobre o cofre, ele assinou uma transação que sugou 55M de DAI do cofre.
Em seguida, dentro de duas horas, todos os tokens DAI adquiridos ilegalmente foram transferidos para endereços downstream controlados pelo phisher e nada restou no endereço inicial que drenou o cofre. Há um total de seis endereços downstream diretamente conectados ao endereço 0x5D4b (ou seja, a um salto do endereço inicial). A maioria dos tokens DAI (44M) é transferida diretamente para endereços downstream, enquanto 10M são trocados pelo token nativo (3880) ETH e então movidos para o endereço 0x8cc5. A DEX utilizada para a troca foi o CoW Protocol: GPv2Settlement. A transação de troca: 0x7c63.
O gráfico de fluxo de fundos para o DAI sugado do endereço original 0x5D4b para os endereços downstream a 1 salto.

Após transferir os fundos ilícitos para os endereços downstream a 1 salto, o atacante começou a mover os fundos em lotes para endereços mais profundos. Durante o processo de transferência, o phisher foi gradualmente trocando o DAI mantido pelos endereços downstream por ETH. Nos endereços downstream a 4 saltos do endereço inicial, todo o DAI roubado já havia sido trocado por ETH. Esses ativos ilícitos, na forma de ETH, então fluíram para exchanges centralizadas (eXch, KuCoin, ChangeNOW) e pontes cross-chain (THORChain, Hop Protocol). (Clique no nome para explorar esses endereços de saque.) Exemplos de transações depositando ganhos ilícitos na eXch: 0x2e42, 0xa982, 0x1e1e, 0xb7a9. Exemplos de transações movendo ganhos ilícitos para o THORChain: 0x5c06, 0xf824, 0x391e.
Uma parte do fluxo de fundos dos endereços da camada 2 (a 2 saltos do endereço inicial) para os endereços da camada 5:

Entre as transferências de ganhos ilícitos para endereços downstream mais profundos, o caminho de transferência mais longo atingiu até 12 saltos, onde cerca de 80 mil dólares foram movidos para a exchange KuCoin 17. Como ilustra o gráfico de fluxo de fundos abaixo, entre 21 e 22 de agosto de 2024, o atacante transferiu gradualmente 38 ETH para a exchange centralizada por um caminho de 12 saltos.

Para evitar chamar atenção excessiva com grandes valores de transferência, os perpetradores tendem a dividir grandes fundos entre múltiplos endereços e usar transferências menores para mover os ativos para endereços mais profundos. Um exemplo de divisão de 1,65M de DAI em 36 pequenas partes, processado por um endereço a 1 salto 0x860c:

Alguns Endereços e Transações Relevantes
| Endereços | Transações | Fluxos de Dinheiro Ilícito |
|---|---|---|
| 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 | 0xa11e, 0x9ef1 | 1.650.000 DAI |
| 0xdd6397104d57533e507bd571ac88c4b24852bce9 | 0x7af2, 0x1d45 | 36.733.858 DAI |
| 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc | 0x7e10, 0x5d08 | 3879 ETH + 1.825.000 DAI |
| 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH |
| 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e | 0xf97a, 0xbc5c | 2164 ETH |
Visão geral do fluxo de fundos:

Explore os detalhes no MetaSleuth: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595



