Hacker que roubou $282 milhões na semana passada, lava $63M via Tornado Cash: CertiK

• A CertiK acaba de identificar $63 milhões em fundos roubados a fluir através do misturador Tornado Cash, após o compromisso de carteira de $282 milhão na semana passada.
• O atacante utilizou táticas de lavagem “de manual”, transferindo Bitcoin para Ethereum e dividindo os fundos em pequenos pedaços para evitar ser apanhado.
• Este roubo massivo começou com um ataque de engenharia social, onde a vítima partilhou por engano a sua frase-semente com uma equipa de suporte falsa.

Na semana passada, a 10 de janeiro, um grande ataque drenou $282 milhões de uma única carteira de criptomoedas.

Embora inicialmente os fundos parecessem perdidos para sempre, os dados forenses mais recentes da CertiK agora mostram onde uma parte do dinheiro se encontra.

Os sistemas deles detectaram um aumento na atividade de lavagem no Tornado Cash esta semana e ligaram-na diretamente aos ativos roubados.

Rastreamento do Caminho de Lavagem do Tornado Cash

Segundo analistas da CertiK, aproximadamente $63 milhões já foram transferidos através do misturador de privacidade. Este valor é apenas uma fração da perda total, mas mostra que o roubo foi um esforço organizado, e os hackers(s) estão a tentar apagar a trilha digital.

Os investigadores da CertiK mapearam onde o dinheiro poderia estar neste momento, e as suas descobertas mostram que o atacante começou com Bitcoin, mas rapidamente passou para a rede Ethereum.

Em 10 de janeiro de 2026, por volta das 23h UTC, uma vítima perdeu mais de $282M em LTC & BTC devido a um esquema de engenharia social com carteiras de hardware.

O atacante começou a converter o LTC & BTC roubados para Monero através de várias trocas instantâneas, causando um aumento acentuado no preço do XMR.

O BTC também…

— ZachXBT (@zachxbt) 16 de janeiro de 2026

Dados mostram que 686 BTC foram transferidos através de uma ponte cross-chain, resultando na chegada de aproximadamente 19.600 ETH a um único endereço.

Assim que os fundos chegaram ao Ethereum, o hacker começou a lavar o dinheiro via Tornado Cash. A CertiK também notou que o ladrão não está a lavar o dinheiro ao mesmo tempo.

Em vez disso, dividiram o Ether em múltiplas carteiras menores, cada uma contendo cerca de 400 ETH.

Um Manual de Manual de Ensino

Especialistas chamaram a estas movimentações de um roubo de criptomoedas “de manual” devido à sua natureza genérica.

#CertiKInsight 🚨

Detectámos depósitos no Tornado Cash que rastreiam até ao alegado compromisso de carteira a 10 de janeiro, que custou mais de $282M.

Parte do fundo (~$63M) foi transferida para 0xF73a4EbC3d0984F166AC215471Cc895cB4F5cc21 antes de mais lavagem.

Mantenha-se atento! pic.twitter.com/byzRmjoeZR

— CertiK Alert (@CertiKAlert) 19 de janeiro de 2026

O hacker utilizou plataformas como THORswap para saltar entre cadeias. Historicamente, os hackers fazem isso para esconder a trilha, e as suas decisões de mover o ETH em pedaços de 400 moedas mostram que estão a tentar deliberadamente lavar o dinheiro.

Assim que os ativos entram num misturador como o Tornado Cash, a ligação visível entre o remetente e o destinatário desaparece, e as equipas de segurança alertam que as hipóteses de recuperação caem para quase zero após este passo.

A Erro Humano por Trás do Hack

Embora a lavagem pareça cuidadosamente planeada, o roubo original foi muito mais simples em comparação.

O incidente de 10 de janeiro aconteceu através de um ataque de engenharia social, onde o atacante fingiu ser um membro da equipa de suporte de carteiras e usou isso para ganhar a confiança da vítima.

O atacante convenceu o utilizador a revelar a sua frase-semente, e assim que a vítima o fez, o hacker assumiu o controlo total de 1.459 BTC e mais de 2 milhões de Litecoin.

Normalmente, os traders que foram vítimas tendem a esperar que os registos na blockchain os ajudem a recuperar o seu dinheiro.

No entanto, neste caso, os fundos estão a mover-se lentamente através do Tornado Cash, tornando a recuperação cada vez mais improvável a cada segundo que passa.

Quando os fundos deixam o misturador, aparecem como moedas “limpas”, sem histórico.

As agências de aplicação da lei podem às vezes sinalizar endereços que interagem com misturadores. No entanto, estes protocolos são descentralizados, e o processo pode ser muito difícil.