Hacker da Upbit passa pelos controlos da Railgun para misturar fundos roubados após exploração de 36 milhões de dólares

O hacker da Upbit pode estar a usar o Railgun para misturar fundos. Apesar das verificações do mixer, os endereços do hacker não foram sinalizados, e as transações puderam continuar. 

A análise on-chain mostrou que endereços ligados ao hack da Upbit usaram o mixer Railgun. O mixer realiza uma verificação de conhecimento zero para a origem dos fundos. Desta vez, no entanto, a verificação não impediu os fundos de serem misturados. 

A Upbit foi hackeada em mais de $36M, com mais de $30M em ativos Solana. O ataque multi-chain levou a trocas imediatas e movimentações de fundos entre carteiras. 

O hacker vendeu a maioria dos ativos quase imediatamente, especialmente tokens baseados em Solana. O investigador on-chain @dethective observou que a venda teve um efeito nos volumes de mercado descentralizados. No dia seguinte ao hack, as carteiras do explorador trocaram tokens Solana por SOL. Depois disso, o SOL foi trocado por USDC, e as stablecoins foram transferidas para Ethereum para mistura. 

No total, o hacker detinha mais de 533 ETH após taxas, avaliados em cerca de $1.6M. A mudança para Ethereum e subsequente mistura é um padrão geralmente atribuído a hackers norte-coreanos. 

A Upbit também adicionou novas informações sobre o seu hack. De acordo com uma declaração da corretora, o exploit pode ser devido a uma falha no sistema interno da exchange, que já foi corrigida. A Upbit afirmou que o hacker pode ter inferido chaves privadas de hot wallets publicamente disponíveis devido a hashing de chaves previsível e criptografia fraca.

Railgun não tinha as informações mais recentes sobre as carteiras dos hackers

A abordagem do Railgun é testar as carteiras de cada utilizador contra bases de dados constantemente atualizadas para atores maliciosos. Neste caso, a lista completa de endereços do hacker era muito recente. Além disso, o exploit passou por múltiplas trocas diretas em DEX e alguns dos fundos foram transferidos para novas carteiras. Os dados disponíveis para o Railgun estavam, portanto, desatualizados, e a carteira mais recente do hacker passou no teste. 

A última carteira interceptada lavou um total de 410 ETH. O novo endereço foi criado apenas horas após o hack, e brevemente usado como intermediário. A rápida mudança nas carteiras adicionalmente evitou os filtros do Railgun.  

Railgun usado para atividade DeFi

O Railgun ganhou popularidade durante o recente renascimento da narrativa de privacidade. O Railgun aumentou o seu pool de ativos, com $95M em valor bloqueado em novembro de 2025. O valor aumentado sinaliza um interesse crescente, já que o mixer alcançou $1.31M em taxas para o Q3. 

O uso de mixers cresceu no último ano. O Tornado Cash, anteriormente vendo apenas atividade de linha de base, aumentou seu valor bloqueado para um novo pico. O mixer detém mais de 32K ETH, após múltiplos exploits de alto perfil. 

O token nativo RAIL também subiu mais de 200% nos últimos três meses, sendo negociado a $3.26. O Railgun refletiu o sucesso do ZCash e outros tokens de privacidade, enquanto também foi promovido por Vitalik Buterin. 

O Railgun não é uma ferramenta preferida para hackers e exploradores. Em vez disso, tem sido uma ferramenta de privacidade geral para transações regulares. Influenciadores de criptomoedas e indivíduos de alto perfil visam a privacidade, já que mesmo dados de transações podem levar a rastreamento ou até oscilações de preços. 

No entanto, o uso do Railgun também pode ser rastreado. Além disso, endereços de hackers podem usar ferramentas para testar quais carteiras seriam sinalizadas pelo Railgun. Isso permitiria que hackers continuassem a esconder os produtos de exploits, a maioria dos quais são irrastreáveis. 

Junte-se à Bybit agora e reivindique um bónus de $50 em minutos