Los atacantes que filtraron un total de 760.000 dólares de 572 carteras de Ethereum tuvieron golpe directo a las claves privadas de todas ellas. Esta es la conclusión central de un exploración on-chain publicado por investigadores conocidos como The Smart Ape sobre el robo de fondos de direcciones de Ethereum ocurrido entre el 29 y 30 de abril.
Según The Smart Ape, los signos más evidentes son: Eso significa que el 99% de los fondos extraídos fueron Ether nativo (ETH).. Según su referencia, durante todo el incidente solo apareció un token adicional (402 SAI, equivalente a aproximadamente USD 8.900), lo que descarta otros vectores utilizados para este tipo de robo.
El conjunto de herramientas unificado Drain-as-a-Service funciona engañando a los usuarios para que firmen autorizaciones. Una vez que esa firma esté en la cautiverio, Drainer extraerá USDC, USDT, WETH o cualquier cosa para la que tenga aprobación. Verás una relación larga y fea de tokens. Termina solo con ETH Estas son las firmas de la persona que firma la transacción.Esto significa que tiene una esencia privada, no sólo una autorización falsificada para transferir fondos.
The Smart Ape, analista e investigador on-chain.
¿Cómo afecta el tipo de billetera afectada al exploración de ataques?
Según informó CriptoNoticias, inicialmente se estimó que: Este ataque se centró en carteras que habían estado inactivas durante abriles.algunos hasta los 14 abriles.
Pero según el exploración de The Smart Ape, esto es sólo una parte del panorama. El 54% de las 572 carteras vulneradas estaban activas en los últimos 12 meses.y los otros 19 nunca habían presentado una transacción. “Esto es inusual ya que la mayoría de los vectores de ataque conocidos se dirigen a poblaciones específicas”, señalaron los investigadores.
El ulterior claro compartido por los investigadores revela el tiempo de inactividad de las billeteras afectadas durante el drenaje.
En opinión del analista, “este (atacante) parecía tener claves para cada tipo de billetera al mismo tiempo”, por lo que esta heterogeneidad descarta la posibilidad de que el hacker explotara una vulnerabilidad específica en una utensilio o período de tiempo específico.
Otras características de los ataques a carteras Ethereum
Según el exploración en cautiverio de The Smart Ape, existen otras dos condiciones en este ataque que nos permiten entretener cómo operó el atacante.
El primero es el ritmo. El vaciado de 572 carteras en 13 horas fue rápido, pero no irregular, afirmaron los investigadores. En su punto mayor, el 30 de abril a las 5:00 UTC, se vaciaron 244 billeteras en 60 minutos. “El ritmo coincide con un insignia que se repite sobre una relación”.señaló.
Esto además contradice los embudos de phishing. Cuando un usufructuario abre un correo electrónico o un mensaje directo, la campaña de phishing continúa durante días.
The Smart Ape, analista e investigador on-chain.
El segundo es el comportamiento tras el drenaje. A posteriori del hack, los fondos se consolidaron y enviaron al protocolo ThorChain en una sola transacción. A partir de ahí, se creó un puente entre Bitcoin y Monero.según informó CriptoNoticias. Smart Ape detalla que antiguamente de esa transferencia, los atacantes enviaron dos pequeñas transacciones de prueba de 0,02 ETH y 2 ETH para compulsar la ruta de salida y esperaron tres horas posteriormente de que se completara el drenaje antiguamente de mover los fondos.
¿Cuál es la causa del robo?
Según The Smart Ape, la hipótesis más probable es una violación de LastPass en agosto de 2022. El atacante accedió a la cúpula de contraseñas cifradas Muchos usuarios lo utilizaron para juntar frases de recuperación y claves privadas.
“El cronograma es correcto: el descifrado por fuerza bruta de GPU para la cúpula más débil alcanzará la envero en 2026”, escribieron los analistas. Según The Smart Ape, Chainalysis y otros investigadores ya habían vinculado robos inexplicables anteriores con la misma infracción.
Según los investigadores, otros posibles mediadores incluyen: Versiones comprometidas de bibliotecas de billeteras o robots comerciales En este caso, el usufructuario deberá pegar la esencia privada directamente en la aplicación. Esto explica que la víctima tenía una billetera activa durante el postrero año. fuga de backend Cualquiera de estos servicios generará exactamente el tipo de billeteras activas que constituyen la porción de la relación de víctimas.
Bots Snipe, bots de copia de comercio, bots MEV: muchos de ellos requieren que el usufructuario pegue la esencia privada directamente en la aplicación.
The Smart Ape, analista e investigador on-chain.
La conclusión de Smart Ape es que el atacante probablemente consolidó múltiples fuentes de claves comprometidas en una sola relación, aplicó un filtro de rentabilidad (solo carteras con saldos superiores a un umbralado) y realizó el drenaje en un único barredura coordinado.
“Esto explica por qué la distribución de la inactividad es tan confusa: las antiguas carteras ICO y las recientes instalaciones de MetaMask están una al banda de la otra. Lo único que tienen en popular es que las claves aparecieron en algún circunstancia accesible para este atacante”, explica el analista.
Por lo tanto, mientras el vector de ataque permanece sin identificar, The Smart Ape tiene una recomendación distinto para los usuarios que han almacenado claves privadas o frases de recuperación en LastPass, Bitwarden o administradores de contraseñas que han sido comprometidos en los últimos abriles: “Rote estas claves, la billetera que olvidó que tenía en 2018 es exactamente lo que pesquisa este script.
(Traducción de etiquetas) Cryptomonedas
