Hacker transfiere $10 millones de un ataque de Phishing a Tornado Cash

Un sofisticado ataque de phishing que originalmente comprometió $24 millones en activos de criptomonedas ha visto nuevos desarrollos, ya que los investigadores de seguridad de blockchain identificaron el movimiento de $10 millones a un servicio de mezcla.

CertiK, una destacada empresa de seguridad en blockchain, informó el 21 de marzo que una de las billeteras involucradas en un importante incidente de phishing en septiembre de 2023 transfirió 3,700 ETH (aproximadamente $10 millones) a Tornado Cash, un servicio de mezcla de criptomonedas conocido por ocultar las huellas de las transacciones.

Los fondos se originaron de una importante violación de seguridad que ocurrió el 6 de septiembre de 2023, cuando un "whale" de criptomonedas (, un individuo que posee activos digitales sustanciales, perdió ) millones en ETH apostados a través del protocolo de staking de liquidez Rocket Pool. El ataque ocurrió en dos fases distintas, con 9,579 stETH retirados en la violación inicial, seguido por el robo de 4,851 rETH en una transacción posterior.

Análisis Técnico del Vector de Ataque

Los investigadores de seguridad del proyecto Scam Sniffer identificaron que la vulnerabilidad fundamental explotada en este ataque involucraba al víctima autorizando una transacción de "Aumentar el Límite". Este mecanismo técnico crítico dentro del estándar de tokens ERC-20 permite a terceros gastar tokens que pertenecen a otra billetera, pero únicamente con la autorización explícita del propietario.

El atacante aprovechó esta funcionalidad para obtener la aprobación para transferir los tokens de la víctima a direcciones bajo su control. Una vez concedidas, estas autorizaciones permitieron al atacante drenar sistemáticamente las tenencias de la víctima a través de múltiples transacciones.

Esta explotación ha provocado una discusión significativa dentro de los círculos de seguridad sobre los riesgos inherentes a las aprobaciones de tokens, particularmente al interactuar con contratos inteligentes no verificados que pueden contener código malicioso diseñado para manipular estos mecanismos de autorización.

Rastreando los Activos Robados

PeckShield, otra firma de seguridad blockchain que monitorea el incidente, documentó cómo el atacante convirtió los activos robados en 13,785 ETH y aproximadamente 1.64 millones de stablecoins Dai. El atacante posteriormente movió porciones de DAI al intercambio FixedFload, mientras distribuía los fondos robados restantes en múltiples billeteras para complicar los esfuerzos de seguimiento.

La reciente transferencia a Tornado Cash representa un intento significativo de oscurecer aún más el origen de estos activos obtenidos ilícitamente, ya que los servicios de mezcla combinan criptomonedas de múltiples fuentes para romper la conexión en cadena entre las direcciones de envío y recepción.

Implicaciones de Seguridad Más Amplias

Este incidente destaca la amenaza persistente de los ataques de phishing en el sector de las criptomonedas. Según un informe de febrero del proyecto Scam Sniffer, casi $24 millones se perdieron en estafas relacionadas con el phishing solo en ese mes. El informe reveló además que el 78% de estos robos ocurrieron en la red Ethereum, siendo los tokens ERC-20 responsables del 86% de todos los fondos robados.

Las preocupaciones de seguridad en torno a las aprobaciones de tokens se han reforzado aún más por incidentes recientes adicionales. El 20 de marzo, un contrato desactualizado utilizado anteriormente por el intercambio Dolomite fue explotado para drenar $1.8 millones de usuarios que habían otorgado permisos previamente al contrato. En respuesta, el equipo de desarrollo de Dolomite instó a los usuarios a revocar inmediatamente todas las aprobaciones otorgadas a la dirección del contrato comprometido.

Ejemplos de Respuesta de Seguridad

Si bien algunas brechas de seguridad resultan en pérdidas financieras significativas, las respuestas rápidas pueden mitigar el daño. Por ejemplo, cuando el sitio web de Layerswap fue comprometido el 20 de marzo, la rápida coordinación del equipo con su proveedor de dominio ayudó a contener el ataque. A pesar de esta rápida respuesta, aproximadamente 50 usuarios aún perdieron activos valorados en $100,000. Layerswap anunció posteriormente el reembolso completo para los usuarios afectados y una compensación adicional por el incidente.

La creciente sofisticación de los ataques de phishing subraya la importancia crítica de la conciencia de seguridad entre los usuarios de criptomonedas. Se debe prestar especial atención a la revisión y limitación de las aprobaciones de tokens, verificar los detalles de las transacciones antes de firmar e implementar medidas de seguridad adicionales, como carteras hardware para los holdings significativos.

Como demuestran estos incidentes, incluso los usuarios experimentados de criptomonedas pueden convertirse en víctimas de sofisticadas estafas de ingeniería social y exploits técnicos. La colaboración continua entre las empresas de seguridad, los desarrolladores de protocolos y las iniciativas de educación para usuarios sigue siendo esencial para mejorar la postura de seguridad general del ecosistema de activos digitales.