Como esse milionário hacker de criptomoedas continua sacando livremente um ano depois

Em 31 de outubro de 2025, o explorador do Radiant transferiu aproximadamente 5.411,8 ETH para o Tornado Cash, uma movimentação avaliada em cerca de US$ 20,7 milhões.

Nove dias antes, o mesmo grupo já havia movimentado aproximadamente 2.834,6 ETH, equivalente a US$ 10,8 milhões, após realizar transferências entre diferentes blockchains e swaps antes de utilizar o mixer.

Nenhuma dessas movimentações pareceu apressada. Ambas aparentam ter sido feitas por um operador cuidadoso, testando a liquidez e o timing de compliance, dividindo os depósitos em denominações comuns do Tornado, que são baratas para misturar e difíceis de rastrear.

Como aconteceu o hack do Radiant

A história do Radiant começa em 16 de outubro de 2024, quando seus pools de empréstimo na Arbitrum e na BNB Chain foram drenados em cerca de US$ 50 milhões a US$ 58 milhões. As primeiras análises técnicas convergiram para um ponto simples, porém devastador.

A violação ocorreu devido a um comprometimento operacional envolvendo detentores de chaves e aprovações, o que permitiu que um invasor executasse transações maliciosas através de um processo de multiassinatura. Empresas de segurança descreveram que os signatários foram induzidos a aprovar chamadas incorretas.

O projeto utilizava um esquema de três em onze para ações sensíveis. Esse conjunto amplo de signatários melhorava a disponibilidade, mas ampliava a área de ataque para comprometimento de dispositivos e engenharia social. Análises da Halborn e de outros reconstruíram como as aprovações e a higiene dos dispositivos criaram janelas exploradas pelo invasor, enquanto as atualizações de incidentes do próprio Radiant fixaram a linha do tempo e a escala.

Relatórios posteriores sugeriram que um grupo apoiado pelo Estado usou a personificação para obter acesso, uma alegação que o Radiant também fez após o ocorrido.

CryptoSlate cobriu as consequências na época sob a ótica de tendências criminais. O relatório observou que as perdas totais por exploits em outubro caíram para aproximadamente US$ 116 milhões, e que o incidente do Radiant representou quase metade desse valor mensal, concentrando uma parcela desproporcional do prejuízo em um único caso.

Esse enquadramento é importante porque mostra como uma única violação cross-chain pode impactar significativamente o perfil de risco de um mês, mesmo quando o ambiente geral parece calmo.

O que se seguiu ao longo do ano seguinte estabeleceu o padrão visível hoje. Os fundos foram transferidos de L2s de volta para o Ethereum através de bridges onde a liquidez é maior. Swaps consolidaram os saldos em ETH para preparar o processo de mixing.

O lote de 22-23 de outubro de 2025 fornece um exemplo claro. A CertiK sinalizou 2.834,6 ETH em depósitos no Tornado e observou que 2.213,8 ETH chegaram via bridge da Arbitrum a partir do EOA 0x4afb, com o restante proveniente de conversões de DAI.

A movimentação de 31 de outubro aumentou o total em mais 5.411,8 ETH, com depósitos modulares que seguem os padrões dos pools do Tornado. A cadeia é pública, a rota é previsível e os incentivos favorecem a paciência em vez do espetáculo.

O que revelam as novas movimentações de lavagem

A atividade recente no mixer parece uma estratégia de vazamento lento, em vez de uma saída única. Saltos de bridge da Arbitrum ou BNB Chain trazem os saldos para os pools mais profundos na mainnet. Rotações em DEXs ajustam o inventário em ETH para as entradas mais eficientes no Tornado.

A divisão em denominações padrão fragmenta o gráfico público em pedaços que são caros de recompor. Mesmo assim, as equipes de compliance ainda conseguem enxergar bastante. Elas agrupam endereços por padrões de uso de gas e timing, associam depósitos a janelas de saque e observam cadeias de peel que começam pequenas, se espalham e depois se agregam perto de um destino.

A postura é pragmática porque o ambiente legal recompensa o pragmatismo. Os tribunais restringiram as teorias mais amplas do governo sobre a sanção de softwares descentralizados. Promotores já venceram e perderam diversos casos relacionados a mixers.

O resultado é uma zona cinzenta onde ferramentas de privacidade continuam operando, e exchanges dependem de controles baseados em comportamento em vez de rótulos generalizados. Investigações ainda conseguem capturar saídas. O atrito apenas muda do software para o processo.

Para usuários e desenvolvedores, a lição é concreta. Escolhas de design têm impacto financeiro. Bridges e routers concentram valor e modos de falha, e é exatamente por isso que exploradores os utilizam na fuga. Aplicativos multi-chain exigem memória muscular para pausas, reversão de allowlists e snapshots de liquidez, em vez de improvisação após um ataque.

A documentação do Radiant mostra como a resposta foi se aprimorando ao longo do tempo. Os custos dessa curva de aprendizado foram reais porque o atacante tinha a iniciativa. Os fluxos atuais pelo Tornado Cash são o final dessa mesma distribuição.

O operador continua em movimento porque as infraestruturas continuam funcionando. A resposta adequada é endurecer os procedimentos dos detentores de chaves, restringir aprovações, monitorar bridges em tempo real e cultivar uma cultura que trate dispositivos de signatários como joias da coroa.

É provável que o explorador do Radiant continue usando o mesmo método até que as condições mudem. Mais depósitos no Tornado chegarão em tamanhos familiares. Mais atividade de bridge aparecerá de endereços ligados aos caminhos de outubro de 2024. Uma saída limpa eventualmente chegará a um local regulado, e as mesas pesarão timing e heurísticas contra as narrativas dos clientes.

A consequência para o mercado é previsível. Cada saída paciente como essa reduz a confiança em abstrações cross-chain e força as equipes a auditar não apenas o código, mas também as operações. Usuários buscam rendimento em várias redes porque a experiência parece fluida. Os ladrões mais habilidosos sabem exatamente onde essa costura está escondida.

O post How this millionaire crypto hacker continues to freely cash out a year later apareceu primeiro em CryptoSlate.