Hacker canaliza $10 millones en Loot de Phishing a Tornado Cash

Un “whale” de criptomonedas fue víctima de un sofisticado ataque de phishing el año pasado, lo que resultó en la transferencia no autorizada de $10 millones de Ether a Tornado Cash, un notorio servicio de mezcla de criptomonedas.

El 21 de marzo, CertiK identificó una cuenta vinculada al hackeo de septiembre de 2023 que sustrajo $24 millones de la víctima. El ataque se desarrolló en dos fases, despojando al inversor de 9,579 stETH y 4,851 rETH de su servicio de staking Rocket Pool.

Siempre me sorprende cómo estos ataques tienen éxito a través de mecanismos tan simples. En este caso, la víctima autorizó una transacción de “Aumentar Permiso” - esencialmente dando al hacker permiso para gastar sus tokens. Es como entregarle a alguien tu billetera y sorprenderte cuando toman tu dinero.

La comunidad cripto ha estado debatiendo extensamente sobre las aprobaciones de tokens, y con buena razón. Estas funciones de contrato inteligente son armas de doble filo: convenientes para usos legítimos pero devastadoras cuando se explotan. El atacante convirtió astutamente los activos robados en 13,785 ETH y 1.64 millones de Dai, distribuyéndolos a través de diversas carteras para ocultar sus rastros.

Las estadísticas de febrero son aún más alarmantes: ¡casi $47 millones se perdieron en estafas de phishing en un solo mes! Los usuarios de Ethereum parecen ser particularmente vulnerables, representando el 78% de estos robos. No puedo evitar preguntarme si la complejidad del ecosistema de Ethereum hace que los usuarios sean más susceptibles a estos ataques.

El reciente drenaje de $1.8 millones de usuarios del intercambio Dolomite a través de un contrato antiguo resalta aún más los peligros de las aprobaciones olvidadas. Muchos usuarios no se dan cuenta de que estos permisos persisten indefinidamente a menos que sean revocados explícitamente.

No todos los ataques tienen éxito completo: la rápida respuesta de Layerswap limitó su reciente violación a “solo” $100,000 de aproximadamente 50 usuarios. Aunque han prometido reembolsos y compensaciones, el daño psicológico a la confianza de los usuarios permanece.

Estos incidentes revelan una realidad preocupante: a pesar de años de advertencias, el phishing sigue siendo devastadoramente efectivo en las criptomonedas. La sofisticación técnica de la blockchain contrasta fuertemente con la vulnerabilidad humana ante la ingeniería social. Hasta que no cerremos esta brecha mediante una mejor educación y herramientas de seguridad, millones seguirán fluyendo hacia atacantes que entienden que explotar la confianza humana suele ser más fácil que romper la criptografía.