CertiK rintraccia 63 milioni di dollari di Tornado Cash fino al furto di criptovalute da 282 milioni di dollari

Circa 63 milioni di dollari depositati su Tornado Cash sono stati collegati al compromesso di portafoglio crittografico del 10 gennaio, nel quale sono stati sottratti complessivamente 282 milioni di dollari.

CertiK ha comunicato che i suoi sistemi di monitoraggio hanno identificato interazioni con Tornado Cash riconducibili all’exploit, fornendo elementi sull’itinerario dei fondi dopo il furto.

Dettagli sulle operazioni di riciclaggio

Secondo l’analisi di CertiK, parte dei Bitcoin rubati è stata trasferita su Ethereum tramite un’operazione di cross-chain swap, convertita in Ether e poi suddivisa tra numerosi indirizzi.

Nel dettaglio, almeno 686 BTC sarebbero stati scambiati verso la rete Ethereum, generando circa 19.600 ETH ricevuti da un singolo indirizzo. Successivamente i fondi sono stati frammentati su molteplici wallet e centinaia di ETH da ciascun indirizzo sono poi confluiti in Tornado Cash, un protocollo di mixing orientato alla privacy.

La cifra di 63 milioni di dollari rappresenta solo una parte delle perdite complessive, ma mostra chiaramente le fasi con cui l’attaccante ha cercato di oscurare le tracce dopo i trasferimenti cross-chain iniziali.

Impatto sulle possibilità di recupero

Il percorso di movimentazione osservato corrisponde, secondo esperti del settore, a uno schema consolidato di riciclaggio che rende molto più difficile il tracciamento e il recupero dei fondi una volta entrati in servizi di mixing.

Marwan Hachem said:

“Questo flusso segue abbastanza da vicino il classico playbook del riciclaggio su larga scala, particolarmente per i furti cross-chain che coinvolgono BTC e LTC.”

Marwan Hachem said:

“L’uso di THORswap per la conversione da Bitcoin a Ether e la successiva suddivisione dei fondi in blocchi di circa 400 ETH prima di entrare nel mixer sono elementi ‘da manuale’ che riducono l’attenzione e rendono il recupero post-mixing molto più complicato.”

Marwan Hachem said:

“Tornado Cash rappresenta un’interruzione significativa della tracciabilità: nella maggior parte dei casi le possibilità di recupero scendono a valori prossimi allo zero.”

Secondo gli analisti, dopo il deposito nei mixer le opzioni di intervento diventano limitate e meno affidabili: le misure di contrasto richiedono cooperazione internazionale, analisi forense avanzata e spesso dipendono dalla capacità di identificare punti di uscita successivi controllati da intermediari regolamentati.

Meccanismo dell’attacco e risvolti investigativi

Le indagini hanno ricondotto il furto del 10 gennaio a un attacco di social engineering che ha indotto la vittima a rivelare la propria seed phrase, permettendo all’aggressore di assumere il controllo completo del portafoglio compromesso.

ZachXBT, investigatore blockchain, ha ricostruito che l’attaccante si è finto personale di supporto del wallet per ottenere le credenziali.

Il portafoglio violato conteneva all’incirca 1.459 BTC e oltre 2 milioni di Litecoin (LTC). Parte delle risorse sottratte è stata inoltre convertita in asset orientati alla privacy.

ZeroShadow aveva segnalato in precedenza che circa 700.000 dollari dei fondi rubati erano stati individuati e congelati nelle fasi iniziali del processo di riciclaggio, ma la maggior parte delle risorse è stata spostata in modo da risultare al momento non facilmente recuperabile.

Contesto operativo e misure di contrasto

I mixer come Tornado Cash e i servizi di swap cross-chain come THORswap sono strumenti tecnici che facilitano trasferimenti tra reti e aumentano la complessità dell’analisi forense sulla blockchain. Le indagini si avvalgono di tracciamento on-chain, intelligence da exchange e cooperazione internazionali per tentare di ricostruire i passaggi e identificare punti di uscita dove le risorse potrebbero essere convertite in valute fiat o trasferite su piattaforme regolamentate.

Le autorità e le società di security operano su più fronti: segnalazione di indirizzi sospetti agli exchange, richiesta di congelamento di asset, analisi dei pattern di trasferimento e collaborazione con provider di servizi crypto che applicano procedure KYC/AML. Tuttavia, la rapidità con cui gli aggressori frammentano e distribuiscono i fondi spesso riduce drasticamente le possibilità di intervento efficace.

Prevenzione e raccomandazioni

Per ridurre il rischio di furti via social engineering è fondamentale che gli utenti proteggano la propria seed phrase, utilizzino wallet hardware per conservare grandi quantità di criptovalute e adottino procedure di verifica prima di comunicare con presunti operatori di supporto.

Le organizzazioni dovrebbero implementare programmi di sicurezza informatica, formazione continua del personale e politiche di risposta agli incidenti che prevedano il coinvolgimento tempestivo di società di analisi blockchain e delle autorità competenti in caso di compromissione.

La vicenda del 10 gennaio sottolinea la combinazione di tecniche tradizionali di ingegneria sociale con strumenti avanzati di riciclaggio on-chain: la prevenzione, l’educazione degli utenti e la cooperazione tra attori pubblici e privati restano elementi chiave per limitare l’impatto di simili attacchi.