Read, hack, repeat

O Grande Assalto (de criptomoedas): a história do roubo de U$ 611 milhões da Poly Network

Guilherme Petry

Na manhã de terça-feira, dia 10 de agosto de 2021, a prestadora de serviços financeiros descentralizados (DeFi), Poly Network, revelou que U$ 611 milhões (mais de R$ 3 bilhões) em criptomoedas foram transferidos de suas carteiras para as de um desconhecido. No dia seguinte, misteriosamente — mas nem tanto assim — o dinheiro começou a ser devolvido em partes, até chegar ao equivalente a quase sua totalidade, na sexta-feira (13). Esse é o resumo da ópera:

Por volta das 09h40, a Poly Network revelou no Twitter, que um cibercriminoso havia transferido o equivalente a U$ 273 milhões em Ethereum; U$ 253 milhões em Binance e U$ 85 milhões em US Dollar Coin (USDC) da Polygon, para carteiras de criptomoedas de posse do criminoso.

"Lamentamos anunciar que o Poly Network foi atacado em Binance, Ethereum e Polygon. Os ativos foram transferidos para os endereços do hacker [...] Após uma investigação preliminar, localizamos a causa da vulnerabilidade. Tomaremos medidas legais e pedimos que os hackers devolvam os ativos.", escreveu a empresa em uma série posts na rede social.

A Poly Networks é uma prestadora de serviços financeiros descentralizados (Decentralized Finance [DeFi]), fundada pelo empresário chinês Da Hongfei, em agosto de 2020. Ela funciona como uma espécie de banco da criptomoeda, oferecendo serviços de bancos normais, mas de forma descentralizada, ou seja, alheia as regulações impostas por governos e agências reguladoras da economia. Ela faz isso através de blockchains de criptomoedas.

Para ter fundos para operar serviços financeiros uma DeFi trabalha com um sistema de investimento próprio. Interessados em receber uma comissão pelas transações realizadas na plataforma investem com criptomoedas e os clientes pagam uma taxa por transação. Essa taxa volta dividida entre os investidores. Por esse motivo uma DeFi movimenta realmente muitas criptomoedas. Nesse caso, um volume de comércio total de mais de U$ 10 trilhões (R$ 54 trilhões), segundo a própria Poly Network.

Informações de transações envolvendo criptomoedas que a Poly Networok mediou, segundo a própria empresa. Foto: The Hack.
Informações de transações envolvendo criptomoedas que a Poly Networok mediou, segundo a própria empresa. Foto: The Hack.

Próximo às 13h, ainda na terça-feira (10), a Poly Network voltou às redes sociais, com um pedido especial. Ela queria conversar com o criminoso. Explicou que o valor furtado é o maior na história das financeiras descentralizadas e que a polícia, autoridades e empresas de segurança já estão tomando providências.

"Querido hacker", começa o texto. "Queremos estabelecer comunicação com você e exortá-lo a devolver os ativos hackeados. A quantidade de dinheiro que você hackeou é a maior da história da defi. A aplicação da lei em qualquer país vai considerar isso como um grande crime econômico e você será perseguido. É muito imprudente fazer quaisquer transações posteriores. O dinheiro que você roubou pertence a dezenas de milhares de membros da comunidade criptográfica. Você deveria falar conosco para encontrarmos uma solução", termina o texto. Foto: Poly Network.
"Querido hacker", começa o texto. "Queremos estabelecer comunicação com você e exortá-lo a devolver os ativos hackeados. A quantidade de dinheiro que você hackeou é a maior da história da defi. A aplicação da lei em qualquer país vai considerar isso como um grande crime econômico e você será perseguido. É muito imprudente fazer quaisquer transações posteriores. O dinheiro que você roubou pertence a dezenas de milhares de membros da comunidade criptográfica. Você deveria falar conosco para encontrarmos uma solução", termina o texto. Foto: Poly Network.

Este não é somente o maior ataque contra uma financeira descentralizada, é também o maior furto de criptomoedas da história da tecnologia, ultrapassando o caso da Coincheck, que perdeu o equivalente a U$ 534 milhões (R$ 2,7 bilhões) para o cibercrime, em janeiro de 2018.

A essa altura, as notícias e os rumores do ataque já haviam se espalhado pelo mundo todo. Em resposta ao comunicado da Poly Network, Changpeng Zhao, o CEO da Binance, uma das blockchains que a Poly Network oferece câmbio, informou que entrou em contato com empresas de segurança parceiras da Binance, para ajudar de forma proativa. “Estamos coordenando com todos os nossos parceiros de segurança para ajudar de forma proativa. Não há garantias. Faremos tudo o que pudermos”, escreveu.

No final do dia, por volta das 22h, uma firma chinesa de segurança de blockchains, a SlowMist, revelou à imprensa local que descobriu a identidade do responsável, além de seu email, impressões e rastros digitais.

Informação foi publicada pelo portal chinês de criptomoedas, ChainNews. Posteriormente detalhada na página do Medium da SlowMist. Foto: The Hack.
Informação foi publicada pelo portal chinês de criptomoedas, ChainNews. Posteriormente detalhada na página do Medium da SlowMist. Foto: The Hack.

O ataque

A Poly Network opera transações de criptomoedas entre os blockchains Binance, Ethereum e Polygon. As criptomoedas são trocadas através de "contratos inteligentes". Um desses contratos armazena uma grande quantidade de ativos, para permitir que os usuários troquem as criptomoedas com eficiência. Segundo o comunicado da Poly Network no Twitter, uma investigação determinou que foi explorado uma vulnerabilidade em um desses contratos.

Uma análise feita pela firma estadunidense Chainalysis identificou que o criminoso resolveu afirmar ser um hacker ético e que só furtou os mais de U$ 600 milhões como Prova de Conceito (PoC), para provar que era possível furtar uma quantidade assustadora de criptomoedas explorando essa vulnerabilidade.

Esse argumento de "hacker ético" foi logo desconstruído por Gurvais Grigg, o diretor de tecnologia da Chainalysis, que explica que o criminoso só resolveu devolver a quantia furtada após perceber que seria muito complicado lavar todo esse dinheiro.

A prova disso é uma investigação da Coindesk que identificou que o criminoso tentou utilizar algumas moedas para investir na plataforma Curve.fi, além de tentar transferir cera de U$ 100 milhões pela Ellipsis Finance. Às duas transações foram rejeitadas, pois, a carteira utilizada havia sido bloqueada pelas operadoras.

Após a revelação que a SlowMist havia identificado a identidade do responsável pelo ataque, a empresa publicou um estudo detalhando de como foi explorada a vulnerabilidade pelo criminoso.

Na quarta-feira (11) o criminoso entrou em contato com a Poly Network e começou a devolver o dinheiro, mas em partes pequenas, com comentários públicos anexados nas transações, onde dizia ser um hacker ético e que o plano sempre foi devolver o dinheiro. No entanto, segundo a SlowMist, este foi um "ataque planejado, organizado e arquitetado por muito tempo".

Na sexta-feira (13), a Poly Network revelou que o criminoso devolveu a maior parte das criptomoedas roubadas, só ainda não conseguiu devolver cerca de U$ 33 milhões, que foram congelados pela plataforma Tether, depois das denúncias.

Como recompensa por denunciar a vulnerabilidade — na verdade, por devolver o dinheiro — a Poly Network resolveu recompensar o hacker, Mr. White Hat, como preferiu ser identificado, com U$ 500 mil (R$ 2 milhões). Final feliz para um crime que deu errado, não?

Criptomoedas são anônimas, mas completamente rastreáveis

Um grande mal-entendido, que faz parte do senso comum é que criptomoedas são irrastreáveis. Pelo contrário, criptomoedas são completamente rastreáveis. Além de serem rastreáveis, as empresas de segurança e a polícia possuem ferramentas, não acessíveis à população geral, exclusivas para crimes envolvendo criptografia e anonimato.

De acordo com Daniel Coquieri, COO da BitcoinTrade, algumas criptomoedas são completamente rastreáveis, como o Bitcoin, por exemplo, que tem seu blockchain público. Além disso, operadoras de criptomoedas podem bloquear transações com carteiras que se envolveram em furtos no passado e foi exatamente o que aconteceu no caso da Poly Network, que impediu o hacker de lavar o dinheiro.

“Existem plataformas que fazem o que chamamos de blacklist ou whitelist, que são carteiras que já estão de alguma maneira identificadas como carteiras que transacionaram bitcoins roubados ou que foram alvo de golpes em determinadas carteiras. Dessa forma, estas carteiras ficam bloqueadas e as principais agências de troca de bitcoin do mundo não permitem receber dinheiro de carteiras roubadas”, explicou o executivo em uma entrevista à The Hack de novembro do ano passado.

Já Sergio Hussein, oficial especialista em crimes cibernéticos da Polícia Civil Estado de São Paulo, explica que os cibercriminosos são normalmente identificados onde mais pecam, nos rastros deixados durante o ataque, que levam à identidade do bandido. O que ele chama de “as etapas não criptografadas”.


Fontes: Poly Network; ;ChainNews; SlowMist; BBC; Chainalysis; Reuters; Coindesk.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.