Il 31 ottobre 202X, Garden Finance ha subito una significativa violazione della sicurezza, che ha portato al furto di 10,8 milioni di dollari su più blockchain. Una parte sostanziale di questi fondi rubati, in particolare 6,65 milioni di dollari, è stata successivamente convogliata attraverso il mixer per la privacy Tornado Cash, intensificando il controllo attorno alla connessione Garden Finance exploit Tornado Cash e sollevando preoccupazioni sulla tracciabilità dei fondi e sulla sicurezza DeFi.
Analisi della violazione di Garden Finance
La piattaforma Garden Finance è stata vittima di un sostanziale exploit il 31 ottobre 202X, con conseguente drenaggio illecito di circa 10,8 milioni di dollari in risorse digitali. Questo attacco multi-chain ha avuto un impatto sui fondi detenuti su reti importanti tra cui Arbitrum, Ethereum e Solana. L’investigatore blockchain ZachXBT è stato tra i primi a identificare questi prelievi non autorizzati, portando l’incidente alla luce.
A seguito della violazione, il team di Garden Finance ha esteso un’offerta di taglia white-hat del 10% all’aggressore, una pratica comune nello spazio crypto nella speranza di recuperare i fondi. Tuttavia, questa apertura è rimasta senza risposta e, invece, l’autore ha iniziato il processo di riciclaggio delle risorse rubate attraverso protocolli di privacy, segnalando una chiara intenzione di oscurare le proprie tracce.
Tracciamento delle crypto rubate: La pipeline Garden Finance exploit Tornado Cash
La società di sicurezza CertiK ha tracciato meticolosamente il movimento dei fondi rubati, confermando che 6,65 milioni di dollari di crypto rubate sono stati effettivamente trasferiti a Tornado Cash. Questa somma includeva una quantità significativa di 501 BNB e 1.910 ETH, deliberatamente instradati attraverso il mixer per anonimizzare la loro origine e destinazione. Mentre una gran parte è stata riciclata, circa 910.000 dollari in risorse rubate sarebbero rimasti nell’indirizzo di un aggressore, offrendo un barlume di speranza per un potenziale recupero, per quanto flebile.
Narrazioni contrastanti: La posizione del team contro la realtà on-chain
All’indomani dell’exploit, il co-fondatore di Garden Finance, Jaz Gulati, ha rilasciato un aggiornamento il 5 novembre 202X, affermando che la violazione ha preso di mira esclusivamente l’infrastruttura web2 di un risolutore di terze parti. Gulati ha dichiarato esplicitamente: “Nessun fondo utente o contratto di protocollo è stato interessato” e ha sostenuto che “Tutti i sistemi hanno funzionato come previsto in condizioni di guasto”. Successivamente, il team ha delineato i piani per il ripristino operativo, la maggiore sicurezza del risolutore e l’integrazione di risolutori indipendenti aggiuntivi per rafforzare la ridondanza.
Tuttavia, questa narrazione è stata rapidamente contestata dalle prove on-chain. ZachXBT ha condiviso screenshot convincenti di un messaggio on-chain proveniente da un indirizzo del deployer di Garden, indirizzato direttamente all’aggressore. Questo messaggio contraddiceva nettamente la dichiarazione pubblica, ammettendo inequivocabilmente: “i nostri sistemi sono stati compromessi su più blockchain”. Questa palese incoerenza tra la rassicurazione pubblica del team e la comunicazione on-chain verificabile ha sollevato serie domande sulla vera portata della violazione e sulla trasparenza della comunicazione del protocollo.
Un modello di controversie: Allegazioni precedenti e implicazioni future
La saga Garden Finance exploit Tornado Cash è ulteriormente complicata da precedenti accuse contro la piattaforma. Prima del recente incidente di sicurezza, l’investigatore blockchain ZachXBT aveva accusato Garden Finance di facilitare il riciclaggio di denaro. Ha affermato che oltre il 25% dell’attività operativa di Garden era collegata a fondi riciclati provenienti da importanti hack, tra cui una notevole violazione di Bybit da 1,4 miliardi di dollari.
Aggiungendo un altro livello a questa complessa narrazione, Garden Finance è stata sviluppata da ex sviluppatori di Ren Protocol. Lo stesso Ren Protocol aveva una storia di elaborazione di oltre 540 milioni di dollari in fondi illeciti prima di essere rimosso dalle principali borse, proiettando una lunga ombra sul suo successore. Gli investigatori hanno persino ipotizzato che il famigerato gruppo di hacker collegato alla RPDC noto come “Dangerous Password” potrebbe aver orchestrato l’attacco di Garden, evidenziando le sofisticate e persistenti minacce affrontate dai protocolli DeFi. Con milioni di dollari ora oscurati attraverso un protocollo di privacy, le prospettive di recupero dei fondi appaiono estremamente scarse, sottolineando la necessità critica di solide misure di sicurezza e di una due diligence diligente nel panorama DeFi in continua evoluzione. Per coloro che desiderano orientarsi in questi mercati complessi e monitorare le tendenze della sicurezza, strumenti come cryptoview.io offrono preziose informazioni.
