$10 Millones en ETH trasladados a Tornado Cash tras un importante ataque de Phishing

Una importante violación de seguridad en criptomonedas ocurrió en marzo de 2024 cuando un atacante transfirió $10 millones de Ether a Tornado Cash, un servicio de mezcla de criptomonedas. Esta transferencia proviene de un ataque de phishing en septiembre de 2023 que comprometió con éxito una cuenta de "ballena" de criptomonedas.

Cronología y detalles del ataque

El 21 de marzo, la firma de seguridad blockchain CertiK identificó actividad sospechosa cuando una cuenta involucrada en un hackeo previo de $24 millones envió 3,700 ETH a Tornado Cash. Estos fondos se originaron de una sofisticada operación de phishing que tuvo como objetivo a un inversor de criptomonedas de alto valor el 6 de septiembre de 2023.

El ataque inicial ocurrió en dos fases distintas, con el atacante primero retirando 9,579 stETH (Ethereum en staking, un token derivado que representa ETH en staking en la red Ethereum), seguido del robo de 4,851 rETH (Rocket Pool ETH, otra forma de ETH en staking) de la billetera de la víctima.

Análisis Técnico del Método de Ataque

Según el proyecto Scam Sniffer, una plataforma centrada en la detección de fraudes en criptomonedas, la víctima fue comprometida después de autorizar una transacción de "Aumentar Permiso". Este error crítico de seguridad permitió al atacante aprobar transferencias de tokens para su propio beneficio.

El ataque explotó el mecanismo de aprobación del estándar de tokens ERC-20, que permite a los contratos inteligentes transferir tokens en nombre de sus propietarios cuando se otorga la autorización adecuada. Aunque esta funcionalidad es esencial para muchas aplicaciones DeFi legítimas, presenta riesgos de seguridad significativos cuando es manipulada por actores maliciosos.

PeckShield, otra firma de seguridad blockchain, informó que el atacante posteriormente convirtió los activos robados en 13,785 ETH y 1.64 millones de Dai stablecoin. El atacante luego distribuyó estos fondos a múltiples destinos, transfiriendo algunos DAI a la bolsa FixedFload mientras movía los activos robados restantes a varias direcciones de billetera.

Implicaciones de Seguridad Más Amplias

Los ataques de phishing siguen siendo una de las amenazas más prevalentes en el sector de las criptomonedas. Según datos recopilados por Scam Sniffer, solo en febrero se registraron pérdidas de casi $47 millones debido a estafas relacionadas con phishing.

El informe destacó que el 78% de estas violaciones de seguridad se dirigieron a la red Ethereum, con los tokens ERC-20 representando el 86% de todos los fondos robados. Este patrón subraya la continua vulnerabilidad incluso de los usuarios de criptomonedas expertos a tácticas sofisticadas de ingeniería social.

Incidentes de Seguridad Recientes Relacionados

La industria de las criptomonedas ha sido testigo de varias brechas de seguridad similares recientemente. El 20 de marzo, un contrato desactualizado previamente utilizado por el intercambio Dolomite fue explotado, lo que resultó en el drenaje de $1.8 millones de usuarios que habían otorgado permisos al contrato. En respuesta, los desarrolladores de Dolomite instaron a todos los usuarios a revocar las autorizaciones previamente otorgadas a la dirección del contrato comprometido.

No todos los incidentes de seguridad resultan en pérdidas irreversibles. El mismo día ( de marzo de 20), el equipo de Layerswap logró mitigar una violación de seguridad en su sitio web gracias a la rápida acción de su proveedor de dominio. A pesar de su rápida respuesta, los atacantes aún lograron robar aproximadamente $100,000 de alrededor de 50 usuarios. Layerswap se ha comprometido a reembolsar a los usuarios afectados y proporcionar una compensación adicional por las molestias.

Recomendaciones de Seguridad

Estos incidentes destacan prácticas de seguridad críticas para los poseedores de criptomonedas:

• Revisar y revocar regularmente las aprobaciones de tokens otorgadas a contratos inteligentes
• Verifica todos los detalles de la transacción antes de firmar, especialmente las solicitudes de "Aprobar" o "Aumentar el Límite".
• Utiliza billeteras de hardware y soluciones de firma múltiple para grandes tenencias
• Implementar herramientas de monitoreo de transacciones para detectar actividades sospechosas de manera oportuna

La explotación de las funciones de aprobación de tokens demuestra la importancia de una mayor conciencia de seguridad entre los usuarios de criptomonedas, particularmente en lo que respecta a los mecanismos técnicos que podrían potencialmente exponer sus activos al robo.

A medida que los atacantes continúan desarrollando métodos cada vez más sofisticados, la comunidad de criptomonedas debe mantenerse alerta y priorizar la educación en seguridad para reducir la prevalencia y el impacto de los ataques de phishing y otras actividades fraudulentas en el ecosistema.