O fundador da THORChain, John-Paul Thorbjornsen, o JP, levou um golpe bem pesado. De acordo com o investigador ZachXBT, ele foi atacado por hackers da Coreia do Norte e perdeu cerca de US$ 1,35 milhão em criptomoedas na última terça-feira, dia 9. A situação começou a chamar atenção quando o agregador DEX da THORChain, o THORSwap, lançou uma campanha de recompensa para tentar recuperar os fundos roubados.
Nos últimos dias, tiveram várias mensagens na blockchain pedindo a devolução de um token que foi tomado. Uma das últimas mensagens dizia: “Oferta de recompensa: devolva $THOR e será recompensado”. Também foi mencionado que nenhuma ação legal seria tomada se o retorno fosse feito em até 72 horas.
Inicialmente, a PeckShield, uma empresa de segurança em blockchain, afirmou que o próprio protocolo da THORChain tinha sido atacado. Mas logo corrigiu a informação, esclarecendo que o problema foi em uma carteira pessoal de um usuário. A equipe da THORChain explicou que não houve uma brecha em seus protocolos e que estavam apenas tentando recuperar os ativos roubados. O CEO do THORSwap, conhecido como “Paper X”, confirmou que o ataque não afetou a integridade do protocolo.
O que aconteceu
Esse ataque começou quando JP recebeu uma mensagem de um amigo, que teve sua conta do Telegram hackeada. O link que ele recebeu era falso e levava a uma suposta reunião no Zoom. JP compartilhou suas experiências no X, onde mencionou que durante o acesso ao Zoom, estava usando um perfil do Chrome desconectado e uma carteira antiga na MetaMask. Ele acreditava que os hackers poderiam ter acessado suas informações através de uma vulnerabilidade.
Infelizmente, após clicar no link, JP viu uma versão deep fake do seu amigo, mas não conseguia ouvir nada e decidiu sair. Mal sabia ele que, enquanto isso, os hackers conseguiram instalar um script malicioso no seu computador e começaram a copiar arquivos da sua pasta do iCloud.
O levantamento feito por ZachXBT revelou que aproximadamente US$ 1,03 milhão em tokens da Kyber Network e US$ 320.000 em tokens THORSwap foram roubados. Os fundos stolen foram enviados para um endereço que também recebeu mensagens de recompensa pela devolução.
JP ainda usou suas redes sociais para compartilhar dicas de segurança após o ataque. Ele alertou seus seguidores a não usarem chaves privadas e a evitarem a sincronização de documentos do iCloud. Também recomendou que as senhas de contas do Apple e Gmail não fossem armazenadas em aplicativos como o Keychain e sugeriu que a verificação em duas etapas deveria ser feita em um telefone exclusivo para isso.
Para ele, esse incidente reforça o risco envolvido em manter chaves privadas por longos períodos: “Chaves privadas são radioativas; quanto mais tempo você as tiver, maior a chance de perder o controle sobre elas.”
