Após uma semana de pesquisas, parece que o culpado por pelo menos duas das transações anômalas de altas taxas no Ether (ETH) foi encontrado.

Conforme relatado pela empresa chinesa de análise de blockchain PeckShield em 16 de junho, o endereço de origem parece vir da plataforma coreana GoodCycle, uma exchange ponto a ponto (P2P) recentemente lançada que oferece oportunidades de “investimento” para seus usuários.

Segundo a PeckShield, essa plataforma mostra todos os sinais de um esquema Ponzi, o que explicaria seu rápido aumento na popularidade.

Os analistas realizaram uma análise completa da blockchain e descobriram que uma carteira começando com “0xcdd6a2b” era a origem das duas primeiras transações. A equipe conseguiu fazer um depósito na plataforma GoodCycle e provou conclusivamente que foi para esse endereço.

Teoria do ransomware mais provável

Os analistas argumentam que, devido ao fato de a GoodCycle parecer um esquema de pirâmide, faz sentido o motivo pelo qual não avançou para reivindicar o dinheiro, pois isso corroeria a confiança na plataforma de seus usuários e, posteriormente, derrubaria o empreendimento.

Jeff Liu, cofundador da PeckShield, disse ao Cointelegraph que a GoodCycle provavelmente é vítima de um ataque, embora ele tenha acrescentado que “ainda existem outras possibilidades, como erros de operação interna”.

O relatório da PeckShield observa que a exchange não usa o protocolo HTTPS criptografado, o que tornaria trivial invadir a exchange por meio de ataques do tipo “man-in-the-middle”.

Uma comunicação da própria GoodCycle parece confirmar que a plataforma está sofrendo um hack, subsequentemente bloqueando retiradas e executando uma “atualização de segurança”.

Anúncio da GoodCycle. Fonte: PeckShield

Vítima entrou em contato com os pools de mineração

Duas transações enviadas hoje para a SparkPool e para a Ethermine da carteira identificada como GoodCycle’s são assinadas com uma mensagem informando “Eu sou o remetente”.

Parece provável que a equipe finalmente recuperou o controle, pois é improvável que os hackers pudessem fazer a transação.

Quando perguntado por que a exchange não foi mais rápida em se fechar, o que foi uma das críticas à teoria da chantagem, Liu respondeu:

“Na minha opinião, eles não são muito experientes e podem precisar de ajuda profissional para lidar com esses problemas operacionais.”

No entanto, a Ethermine já decidiu distribuir os fundos para os mineradores, enquanto a SparkPool se comprometeu a iniciar o processo hoje também.

A conexão com o PlusToken

O pesquisador anônimo Frank Topbottom conseguiu identificar que vários endereços conectados ao maciço esquema Ponzi, PlusToken, estavam interagindo com o endereço mais tarde associado à GoodCycle. Especificamente, os fundos PlusToken conhecidos enviaram ETH para o mesmo endereço de depósito usado para algumas transações no endereço GoodCycle.

Não está claro se a associação é mais profunda. É possível que a GoodCycle tenha sido simplesmente outro local usado pelos golpistas para lavar suas receitas.

Por Andrey Shevchenko