Um grupo de hackers chineses se passando por uma empresa de segurança cibernética supostamente roubou US$ 7 milhões por meio de ataques à cadeia de suprimentos de carteiras visando a Trust Wallet e outros clientes antes que uma disputa interna levasse a uma violação de denúncia.
resumo
O grupo, que operava sob a tecnologia Wuhan Anshun e se autodenominava uma organização de segurança, supostamente usou aplicativos Electron, plug-ins de navegador e ferramentas de controle remoto para roubar mnemônicos e comprometer carteiras como Ethereum, BNB Chain e Arbitrum. Membros descontentes agora dizem que a tripulação roubou cerca de US$ 7 milhões em 37 tokens diferentes e depois vazou detalhes internos em uma disputa sobre divisão de lucros e “indenizações por demissão” não pagas. Apesar do silêncio das autoridades, este episódio ecoa incidentes recentes na cadeia de abastecimento e na expansão envolvendo a Trust Wallet e outros, destacando que quaisquer atualizações, plugins ou wrappers para carteiras de autocustódia fazem parte da verdadeira superfície de ataque.
Um grupo de hackers chinês que se passava por uma empresa de segurança cibernética foi preso depois que uma disputa interna levou seus membros a vazar detalhes de uma operação multimilionária de roubo de criptomoedas. De acordo com relatórios de mercado, o grupo afirma ter roubado aproximadamente US$ 7 milhões em ativos digitais por meio de ataques à cadeia de suprimentos direcionados ao popular provedor de carteiras Trust Wallet e outros.
O grupo, operando sob o nome de empresa Wuhan Anshun Technology, anunciava-se publicamente como uma empresa de segurança focada em pesquisa de vulnerabilidades, ataques de rede e exercícios de defesa e serviços de segurança. Internamente, no entanto, os membros teriam se envolvido em atividades de “mercado cinza”, roubando sistematicamente frases mnemônicas e invadindo as carteiras dos usuários em várias redes. De acordo com o denunciante, a equipe construiu uma ferramenta automatizada para verificar em massa ativos de frases mnemônicas e identificar portfólios de alto valor em Ethereum, BNB Chain, Arbitrum e outras redes.
De acordo com as contas vazadas, o grupo explorou vulnerabilidades da cadeia de suprimentos em clientes e plug-ins de navegador baseados em Electron, combinados com engenharia reversa e programas de controle remoto, para roubar dados de carteiras e exfiltrar fundos. A operação supostamente tocou 37 tokens diferentes em vários blockchains e lavou dinheiro por meio de divisões e transferências para ocultar o rastro. O gatilho direto para a operação foi uma disputa interna sobre a participação nos lucros e “indenizações” não pagas para uma das operadoras.
O denunciante afirma que, depois de entrar em conflito com o líder da sua equipa sobre o que considerou ser uma participação injusta nos lucros, e depois de não receber a compensação prometida, decidiu divulgar publicamente as provas e pretende entregar-se às autoridades. Até agora, as acusações não foram oficialmente confirmadas e as autoridades não anunciaram publicamente o andamento da investigação. Os comentaristas da indústria observam que este episódio mais uma vez destaca superfícies de ataque estruturais em cadeias de fornecimento de carteiras, ecossistemas de plugins e clientes de desktop, especialmente para usuários de alto valor que tratam o software de autocustódia como “configure e esqueça”.
Para usuários varejistas e institucionais, as lições são diretas. Os riscos de segurança existem não apenas no manuseio de chaves privadas, mas também em todas as atualizações, extensões e wrappers de cliente que existem entre as chaves. Num mercado onde os atacantes estão dispostos a criar falsas “empresas de segurança” como fachadas, a auditoria rigorosa das cadeias de abastecimento, a minimização da utilização de plugins e a higiene rigorosa ao nível dos dispositivos já não são melhores práticas, mas sim requisitos básicos para a sobrevivência.
