Apelidado por alguns como o “batman das criptomoedas”, o detetive por trás do pseudônimo ZachXBT já provou inúmeras vezes ter capacidade de vasculhar a blockchain para desvendar o que hackers tentam esconder.
Desta vez, Zach conseguiu descobrir a identidade do trio de hackers por trás da invasão do perfil do Twitter de Beeple, um dos artistas de NFT mais famosos no mundo.
Mais do que isso, o detetive foi capaz de encontrar o rastro de R$ 2,3 milhões em criptomoedas que os hackers roubaram ao disseminar um golpe no perfil de Beeple em maio deste ano.
Zach narrou suas descobertas em uma thread no Twitter na manhã desta terça-feira (4), sendo elogiado pelo próprio Beeple e recebendo do artista uma obra em sua homenagem.
“Muito obrigado a @zachxbt por expor esses idiotas. Por favor, lembre-se de IR DEVAGAR ao agir neste espaço, especialmente quando você está operando com uma carteira cheia de coisas”, escreveu o artista.
NO PLACE TO HIDE pic.twitter.com/aFTl0thYBL
— beeple (@beeple) October 4, 2022
Como a invasão aconteceu
Para chegar à identidade dos hackers que invadiram a conta de Beeple em maio, Zach precisou descobrir como eles obtiveram acesso à conta do artista em primeiro lugar.
Zach já tinha uma pista: em agosto deste ano, ele havia descoberto uma informação fundamental. As contas que estavam sendo invadidas para promover golpes de NFT com ajuda de um hacker canadense chamado Cameron Redman, que vendia acesso a um painel do Twitter que dava acesso aos perfis dos usuários sem precisar de senhas.
Redman é um hacker conhecido no setor. Em 2020, quando ainda era adolescente, ele roubou US$ 37 milhões em bitcoin de Josh Jones, um famoso jogador de futebol americano, através de um golpe de troca de chips (SIM Swap).
Redman, portanto, foi o responsável por vender o painel do Twitter para que outro hacker fizesse o ataque. Para chegar a identidade do segundo invasor, Zach rastreou o destino das criptomoedas roubadas durante o hack ao perfil de Beeple.
Atravessando o Tornado
Na sua análise on-chain, Zach viu que as criptomoedas foram enviadas para o serviço Tornado Cash, um mixer cripto cujo uso foi proibido nos EUA pelas autoridades em agosto.
Recorrer ao Tornado Cash foi a estratégia do hacker para ocultar os vestígios das criptomoedas na blockchain. Embora a ferramenta ’embaralhe’ as transações ao mistura-las com outras, isso não impediu Zach de rastreá-las.
O analista conseguiu a façanha observando o histórico de transações que passaram pelo Tornado Cash nas horas posteriores ao envio dos ativos ao mixer. Dessa forma, ele encontrou transações cujas quantias enviadas e retiradas do serviço eram as mesmas, o que significa que eram movimentações do mesmo hacker.
5/ On 5-22 at 7:20 pm UTC the attacker sent 3 X 10 ETH and 6 X 1 ETH (36 ETH) from 0xf30 to Tornado Cash.
— ZachXBT (@zachxbt) October 4, 2022
Just <2 hrs later 0x664b withdrew 3 X 10 ETH and 6 X 1 ETH (36 ETH) from Tornado and sent the 36 ETH to FixedFloat.
0x664B589a3042F55222Bb5981d47Ca6a1eD4745F4 pic.twitter.com/drIY42KUDJ
Ao analisar o endereço que recebeu as criptomoedas do mixer, com as iniciais 0x2fc, Zach teve outra descoberta: esse endereço pertence a um hacker já conhecido no espaço cripto como Two1/Youssef, que já invadiu servidores do Discord de projetos de NFT famosos, como o Otherside do Bored Ape Yacht Club.
“Depois de receber os fundos do Beeple da Tornado, Two1 enviou os fundos para o mesmo endereço 0x5bc que ele exibiu no Twitter em junho. […] Consistente com seus comportamentos anteriores, Two1 só deixou o ETH no Tornado por ~2 horas antes de retirar tudo para 0x2fa”, observou o analista.
Depois disso, as criptomoedas foram enviadas para outros endereços até chegarem aos seus destinos atuais: 163 ETH dos fundos roubados no ataque ao perfil de Beeple estão armazenados no endereço com as iniciais 0xe84d, e outros 25 ETH estão no endereço 0xf20.
Além dos dois hackers citados anteriormente, Zach, ao analisar as transações na blockchain, acabou descobrindo a participação de terceiro infrator na história, chamado Shayan. Esse hacker teria sido o responsável por conectar Two1 com Redman para executar o ataque, com a condição de receber uma porcentagem dos valores roubados.
“Em resumo: Redman vendeu acesso ao painel do Twitter para Two1 & Shayan, o que lhes permitiu hackearBeeple. Após o ataque, Two1 depositou os fundos no Tornado, mas os retirou imediatamente em quantias semelhantes, por isso foi facilmente rastreado”, finaliza Zach.
Procurando uma corretora segura que não congele seus saques? No Mercado Bitcoin, você tem segurança e controle sobre seus ativos. Faça como nossos 3,8 milhões de clientes e abra já sua conta!