Contenido
El miércoles por la noche, alguien retiró dinero de varias carteras de criptomonedas asociadas a la plataforma financiera descentralizada BadgerDAO Hacking efectivo de la blockchain. Según la plataforma de seguridad y análisis de datos Peckshield, que está colaborando con Badger para investigar el atraco, el valor de los distintos tokens robados en el ataque ronda los 120 millones de dólares.
La investigación está en curso, pero los miembros del equipo de Badger han dicho a los usuarios que creen que el problema fue causado por alguien que insertó un script malicioso en la interfaz de su sitio web. Por cada usuario que interactuaba con el sitio mientras el script estaba activo, éste interceptaba las transacciones de Web3 e introducía una solicitud para transferir los tokens de la víctima a una dirección elegida por el atacante.
Como las transacciones son transparentes, podemos ver lo que ocurre cuando los atacantes se introducen. PeckShield señala una transferencia que desvió 896 bitcoins por valor de más de 50 millones de dólares de las arcas de los atacantes. Según el equipo, el código malicioso apareció ya el 10 de noviembre, y los atacantes lo ejecutaron a intervalos aparentemente aleatorios para evitar la detección de un hackeo efectivo de la blockchain.
Los sistemas financieros descentralizados (o DeFi) se basan en la tecnología blockchain para permitir a los propietarios de criptodivisas realizar transacciones financieras más típicas, como el pago de intereses de préstamos. BadgerDAO promete a los usuarios que pueden “estar tranquilos sabiendo que nunca tienen que entregar las claves privadas de sus criptodivisas, que pueden retirarlas cuando quieran y que nuestros estrategas trabajan día y noche para que sus activos funcionen”. El protocolo permite a los titulares de bitcoins conectar su criptodivisa a la plataforma Ethereum a través de un token y utilizar funciones de DeFi a las que no tendrían acceso de otro modo.
Hacking efectivo de la blockchain
Cuando Badger descubrió las transferencias no autorizadas, suspendió todos los contratos inteligentes, congeló su plataforma y aconsejó a los usuarios que rechazaran todas las transacciones a direcciones maliciosas.
El jueves por la noche, la empresa dijo que había “recibido datos de expertos forenses de Chainalysis para investigar todas las circunstancias del incidente”. Las autoridades estadounidenses y canadienses han sido notificadas y Badger está cooperando plenamente con las investigaciones externas y llevando a cabo las suyas propias.
Badger está investigando, entre otras cosas, cómo un atacante aparentemente obtuvo acceso a Cloudflare a través de una clave API que supuestamente estaba protegida por la autenticación de dos factores. Aunque el ataque no reveló ninguna vulnerabilidad específica en la tecnología blockchain en sí, sí consiguió explotar la tecnología “Web 2.0” más antigua que la mayoría de los usuarios se ven obligados a utilizar para realizar transacciones.
Los sistemas de autenticación multifactoriales protegen nuestras cuentas de muchos ataques de phishing o de ataques con relleno masivo de credenciales. Sin embargo, los expertos han advertido repetidamente de los ataques de phishing dirigidos que pueden eludir este proceso, y los kits de herramientas para automatizar este proceso han existido durante años. La alerta de 2019 del FBI (pdf) habla de la creciente capacidad de los atacantes para saltarse la MFA y sugiere cambios o formación que podrían dificultar la realización de estos ataques.
El Incidente del Hacking
Garantizar una correcta autenticación de dos factores puede ser difícil incluso en las típicas aplicaciones financieras, basta con preguntar a PayPal. Pero incidentes como este, o el robo de 600 millones de dólares experimentado por Poly Network en agosto, o el robo de 53 millones de dólares que se produjo con el primer DAO en 2016, son, con suerte, suficientes para extender la conciencia de seguridad más allá de los protocolos y el cifrado.
Hacking a blockchain
Un comentarista en el Discord de Badger resumió la situación diciendo: “Todas [todas] las auditorías de blockchain/contratos inteligentes en el mundo, y la gente perdiendo 120 millones debido a una fuga de la API de Cloudflare causada por un equipo descuidado donde el tipo agregó un nuevo permiso para su contrato en el encabezado del sitio – GG – tenemos un largo camino por recorrer.” Un miembro del equipo dijo: “Estoy seguro de que vamos a llegar a algunos procedimientos de mitigación después de esto”.
Todavía no se sabe cuánto se puede recuperar ni cómo se compensará a los afectados. Pero para quienes viven en el mundo de las criptomonedas, el blockchain y las aplicaciones Web3, podría ser finalmente una cuestión de averiguar cómo funcionan realmente las aprobaciones, las firmas y las transacciones y seguirles la pista. Sobre todo cuando valores por valor de millones de dólares pueden desaparecer en un abrir y cerrar de ojos, aunque estén gestionados por “uno de los equipos más fiables de DeFi”, como se describe Badger.