Em 31 de outubro de 202X, a Garden Finance sofreu uma violação de segurança significativa, levando ao roubo de US$ 10,8 milhões em várias blockchains. Uma parte substancial desses fundos roubados, especificamente US$ 6,65 milhões, foi subsequentemente canalizada através do mixer de privacidade Tornado Cash, intensificando o escrutínio em torno da conexão Garden Finance exploit Tornado Cash e levantando preocupações sobre a rastreabilidade dos fundos e a segurança DeFi.
Desvendando a Violação da Garden Finance
A plataforma Garden Finance foi vítima de um exploit substancial em 31 de outubro de 202X, resultando no desvio ilícito de aproximadamente US$ 10,8 milhões em ativos digitais. Este ataque multi-cadeia impactou fundos mantidos em redes proeminentes, incluindo Arbitrum, Ethereum e Solana. O investigador de blockchain ZachXBT foi um dos primeiros a identificar essas retiradas não autorizadas, trazendo o incidente à luz.
Após a violação, a equipe da Garden Finance estendeu uma oferta de recompensa de chapéu branco de 10% ao atacante, uma prática comum no espaço cripto na esperança do retorno dos fundos. No entanto, essa abertura não foi atendida e, em vez disso, o perpetrador iniciou o processo de lavagem dos ativos roubados através de protocolos de privacidade, sinalizando uma clara intenção de obscurecer seus rastros.
Rastreando Cripto Roubada: O Pipeline Garden Finance exploit Tornado Cash
A empresa de segurança CertiK rastreou meticulosamente o movimento dos fundos roubados, confirmando que US$ 6,65 milhões em cripto roubada foram de fato transferidos para o Tornado Cash. Essa soma incluiu uma quantidade significativa de 501 BNB e 1.910 ETH, deliberadamente roteados através do mixer para anonimizar sua origem e destino. Embora uma grande parte tenha sido lavada, aproximadamente US$ 910.000 em ativos roubados permanecem em um endereço do atacante, oferecendo um vislumbre de esperança para uma potencial recuperação, por menor que seja.
Narrativas Conflitantes: A Postura da Equipe Versus a Realidade On-Chain
Após o exploit, o co-fundador da Garden Finance, Jaz Gulati, emitiu uma atualização em 5 de novembro de 202X, afirmando que a violação tinha como alvo exclusivo a infraestrutura web2 de um solucionador de terceiros. Gulati afirmou explicitamente: “Nenhum fundo de usuário ou contrato de protocolo foi afetado” e manteve que “Todos os sistemas funcionaram conforme o esperado em condições de falha.” A equipe subsequentemente delineou planos para restauração operacional, segurança aprimorada do solucionador e a integração de solucionadores independentes adicionais para reforçar a redundância.
No entanto, essa narrativa foi rapidamente desafiada por evidências on-chain. ZachXBT compartilhou capturas de tela convincentes de uma mensagem on-chain originária de um endereço de implantação da Garden, diretamente endereçada ao atacante. Esta mensagem contradizia fortemente a declaração pública, admitindo inequivocamente: “Nossos sistemas foram comprometidos em várias blockchains.” Essa inconsistência gritante entre a garantia pública da equipe e a comunicação verificável on-chain levantou sérias questões sobre a verdadeira extensão da violação e a transparência da comunicação do protocolo.
Um Padrão de Controvérsia: Alegações Anteriores e Implicações Futuras
A saga Garden Finance exploit Tornado Cash é ainda mais complicada por alegações preexistentes contra a plataforma. Antes do recente incidente de segurança, o investigador de blockchain ZachXBT havia acusado a Garden Finance de facilitar a lavagem de dinheiro. Ele alegou que mais de 25% da atividade operacional da Garden estava ligada a fundos lavados originários de grandes hacks, incluindo uma notável violação de US$ 1,4 bilhão da Bybit.
Adicionando outra camada a esta narrativa complexa, a Garden Finance foi desenvolvida por ex-desenvolvedores do Ren Protocol. O próprio Ren Protocol tinha um histórico de processamento de mais de US$ 540 milhões em fundos ilícitos antes de ser removido das principais exchanges, lançando uma longa sombra sobre seu sucessor. Investigadores até especularam que o notório grupo de hackers ligado à RPDC conhecido como “Dangerous Password” poderia ter orquestrado o ataque da Garden, destacando as ameaças sofisticadas e persistentes enfrentadas pelos protocolos DeFi. Com milhões agora obscurecidos através de um protocolo de privacidade, as perspectivas de recuperação de fundos parecem extremamente tênues, sublinhando a necessidade crítica de medidas de segurança robustas e due diligence diligente no cenário DeFi em constante evolução. Para aqueles que procuram navegar nestes mercados complexos e monitorizar as tendências de segurança, ferramentas como cryptoview.io oferecem informações valiosas.
