Uma antiga aprovação de token Ethereum foi explorada, permitindo a um atacante esvaziar $13,3M de uma carteira em segundos após receber fundos.
Uma carteira Ethereum perdeu cerca de $13,3 milhões em segundos após uma aprovação de token há muito esquecida ter sido ativada.
Os fundos chegaram através de uma transação de abstração de conta, e o atacante agiu imediatamente. Dados da blockchain mostram que a carteira havia concedido direitos de gasto inadvertidamente semanas antes.
Assim que a transferência foi concluída, a aprovação permitiu acesso total sem confirmação adicional. O incidente demonstra como permissões inativas podem permanecer ativas e serem usadas sem aviso prévio.
Carteira Recebe Fundos e é Esvaziada Rapidamente
A carteira vítima, identificada como 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, recebeu cerca de $13,3 milhões em uma única transação.
O atacante executou a transferência usando um mecanismo de abstração de conta projetado para simplificar operações de carteira.
Além disso, registros da blockchain mostram que os fundos chegaram e foram removidos pelo atacante em segundos. Consequentemente, o timing rápido não deixou espaço para intervenção manual ou ação defensiva.
A velocidade do esvaziamento sugeriu que o atacante não precisou de novas permissões. Em vez disso, ele já tinha acesso antes da transferência ocorrer.
Adicionalmente, rastreadores de segurança confirmaram que nenhuma nova transação de aprovação ocorreu durante o incidente. Isso descartou ataques comuns de phishing ou baseados em assinatura.
Investigadores então revisaram atividades onchain históricas vinculadas à carteira. O foco mudou para aprovações de tokens mais antigas que nunca haviam sido revogadas.
Essa revisão revelou uma aprovação anterior que ainda permitia gastos por terceiros. Essa permissão inativa tornou-se o ponto de entrada para a exploração.
A Aprovação Antiga Permitiu a Exploração
Investigadores rastrearam a causa raiz até uma transação de aprovação feita em 1 de janeiro de 2026. Essa chamada concedeu direitos de gasto ao endereço 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
Na época, a aprovação não gerou preocupação pública. A permissão permaneceu ativa e não foi revogada.
Uma aprovação antiga acabou custando $13,3M.
O endereço da vítima 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD recebeu ~$13,3M via uma transação de abstração de conta e foi esvaziada em segundos.
A causa raiz remonta a uma chamada approve() feita em 1 de jan de 2026, concedendo direitos de gasto… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 de janeiro de 2026
O endereço do atacante, 0x6cAad74121bF602e71386505A4687f310e0D833e, posteriormente usou essa aprovação.
Ela permitiu acesso total aos fundos recebidos. Assim que os fundos chegaram, o atacante executou transferências sem atraso. Ele removeu todo o saldo em uma ação coordenada.
Movimentos de Fundos Após o Esvaziamento
Após o esvaziamento, o atacante trocou os ativos roubados de tokens para WETH e depois para ETH. Essas etapas reduziram a exposição ao rastreamento a nível de token.
Depois, o atacante moveu fundos entre várias carteiras. As transferências foram rápidas e distribuídas por vários endereços.
Esse método criou um padrão de transação complexo. Atacantes frequentemente usam esses padrões para dificultar os esforços de rastreamento.
Análises da blockchain mostram que uma parte do ETH permanece on-chain. Esses fundos estão em endereços ainda vinculados ao atacante.
Leitura Relacionada: Perdas de $25M: Machi Liquidada por 1.000 ETH Após Queda de Mercado
Observações Onchain Contínuas
Observadores de segurança continuam monitorando as carteiras vinculadas ao atacante. No entanto, investigadores não encontraram serviços de mixing durante os movimentos iniciais.
A presença de fundos on-chain deixa espaço para rastreamento. Analistas dependem do timing das transações e das ligações entre endereços.
O incidente mostra como aprovações mais antigas podem permanecer ativas. Proprietários de carteiras muitas vezes esquecem essas permissões ao longo do tempo. O evento reforça a necessidade de revisões regulares de permissões.
Até os dados mais recentes, nenhuma transação de recuperação ocorreu. Os fundos roubados permanecem sob controle do atacante.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
