Más de $22 millones robados de plataformas Web3 en octubre

7 nov 2023

7 minutos

```html

En octubre de 2023, el sector de la cadena de bloques, normalmente elogiado por sus sólidos niveles de seguridad, fue golpeado por una dura realidad. Una serie de hacks avanzados resultaron en una pérdida de $22,54 millones, una cifra notablemente menor que los masivos $400 millones en robos relacionados con criptomonedas de septiembre. Esto sugiere un fortalecimiento de la postura de seguridad de la industria, sin embargo, los hackeos de octubre destacan un hecho crítico: la seguridad es una preocupación primordial y las compañías están aprendiendo esto a la fuerza.

A medida que los ciberdelincuentes se adaptan continuamente y buscan nuevas vulnerabilidades para explotar, desde el robo de claves privadas hasta el engaño de salpullidos rug, se vuelve evidente que la batalla por la ciberseguridad está en constante escalada. Es un campo de batalla dinámico, con expertos en seguridad innovando incansablemente para estar un paso adelante de los próximos movimientos de los hackers.

A pesar de la promesa de descentralización y seguridad de la tecnología subyacente, la compleja interacción entre errores humanos, vulnerabilidades del sistema y metodologías avanzadas de ataque puede crear un terreno fértil para la explotación.

En este artículo, estos hackeos particulares ilustran de manera sorprendente una verdad crítica en el ámbito de la seguridad de la Web3: ninguno de estos incidentes son nuevos y cada uno podría haberse mitigado, si no evitado por completo, con un enfoque más vigilante e informado hacia la ciberseguridad.

Estos hackeos, incluyendo fugas de claves y vulnerabilidades de contratos inteligentes, no fueron novedosos en sus métodos; en cambio, repitieron patrones conocidos de fallas de seguridad que continúan desafiando el espacio digital. Este tema recurrente subraya la necesidad esencial de educación y concienciación continua en el ámbito de la seguridad.


Hack de BigWhale

El 3 de octubre de 2023, BigWhale.io experimentó una violación de seguridad (una fuga de claves privadas de una cartera Ledger de la compañía) donde personas no autorizadas obtuvieron acceso y comprometieron la integridad de la plataforma. Como resultado de esta violación, aproximadamente $1,5 millones de dólares de BNB fueron retirados ilícitamente y transferidos desde el contrato inteligente de la plataforma en la cadena inteligente de Binance (Dirección del contrato: 0x30054BB89EDD62F9A57E6d7F02bdff25Db30751e).

BigWhale.io reconoce su responsabilidad con sus inversores y se compromete a tomar todas las medidas razonables y necesarias para recuperar los fondos hackeados. BigWhale.io cooperará plenamente con cualquier investigación y esfuerzos de recuperación liderados por agencias de aplicación de la ley y ciberinteligencia.

Cómo evitarlo

Carteras de Multifirma: En una configuración de multifirma, las transacciones requieren autorización de múltiples partes antes de poder realizarse. Esto significa que incluso si una clave privada es comprometida, no pueden ocurrir transacciones no autorizadas a menos que los atacantes también tengan acceso a las claves adicionales requeridas.

Control descentralizado: Las carteras de multifirma distribuyen el control entre varias partes (por ejemplo, diferentes miembros del equipo o departamentos dentro de la compañía). Este enfoque descentralizado reduce el riesgo de un único punto de fallo, donde el compromiso de una clave podría conducir a una violación de seguridad.

Protocolos de seguridad personalizables: Con las carteras de multifirma, un proyecto podría personalizar el número de firmas requeridas para diferentes tipos de transacciones. Por ejemplo, transacciones más grandes podrían necesitar más firmas, agregando una capa adicional de seguridad para movimientos significativos de fondos.


Hack de Stars Arena

Según SlowMist, Stars Arena parecía haber sido hackeado debido a una importante vulnerabilidad en su contrato inteligente. El hacker transfirió 266.103 AVAX ($2,9M) a la dirección (0xa2Eb…ad7A), la cual luego transfirió 50,32 AVAX a FixedFloat el 6 de octubre. El 12 de octubre, Stars Arena tuiteó que habían recuperado aproximadamente el 90% de los fondos perdidos. Se dijo que el hacker explotó a Stars Arena a través de un ataque de reentrancia.

Stars Arena llegó a un acuerdo con el individuo responsable de la reciente violación de seguridad y ha recuperado aproximadamente el 90% de los fondos perdidos.

Cómo evitarlo

Para este incidente, donde un ataque de reentrancia en su contrato inteligente llevó a un importante robo de fondos, estas estrategias de mitigación podrían haber sido efectivas:

Auditoría de seguridad de alta calidad: Antes de desplegar cualquier contrato inteligente, especialmente aquellos que manejan transacciones financieras sustanciales como Stars Arena, es crucial que el contrato sea auditado minuciosamente por una firma de seguridad en cadena de bloques de renombre. Estas firmas se especializan en identificar vulnerabilidades, incluyendo aquellas que pueden llevar a ataques de reentrancia. Una auditoría experta podría haber identificado y abordado la vulnerabilidad de reentrancia antes de que el contrato se hiciera público.

Programa de recompensas por errores: Establecer un programa de recompensas por errores invita a hackers éticos e investigadores de seguridad a encontrar y reportar vulnerabilidades a cambio de una recompensa. Este enfoque a menudo descubre problemas que los equipos internos e incluso auditorías externas podrían pasar por alto.

Participación en la comunidad de desarrolladores: Plataformas como CodeArena pueden ser utilizadas para organizar concursos donde los desarrolladores y expertos en seguridad son desafiados a encontrar vulnerabilidades en el contrato inteligente. Este enfoque no solo identifica posibles problemas de seguridad, sino que también fomenta la participación y la confianza de la comunidad.


Hack de Platypus Finance

El 12 de octubre, el protocolo de finanzas descentralizadas (DeFi) Platypus Finance sufrió otro hackeo este año, con alrededor de $2 millones robados. El equipo de Platypus ha confirmado el incidente, diciendo que ha "suspendido temporalmente todos los pools" debido a "actividades sospechosas en nuestro protocolo".

Según la firma de seguridad PeckShield, el protocolo fue explotado en la cadena de bloques Avalanche ya que los atacantes descubrieron una vulnerabilidad que les permitió retirar Avax envuelto (wAVAX) y Avax apostado (sAVAX). La naturaleza del hackeo sigue sin estar clara. "Se comunicarán más actualizaciones a la comunidad de manera oportuna", declaró Platypus.

Platypus se puso en contacto con el hacker; tras negociaciones exitosas, el 90% de los fondos robados del pool sAVAX han sido devueltos por el explotador.

Cómo evitarlo

Valoración de seguridad integral por una firma de seguridad en blockchain: Antes de lanzar cualquier contrato inteligente, especialmente para plataformas como esta que manejan transacciones monetarias significativas, es imperativo someterse a una evaluación de seguridad rigurosa realizada por una reconocida firma en el dominio de la seguridad en blockchain. Estas firmas especializadas tienen la experiencia para identificar posibles fallas de seguridad, incluyendo aquellas que podrían llevar a ataques de reentrancia. Una evaluación detallada y liderada por expertos en esta etapa podría identificar y rectificar las fallas de reentrancia antes de que el contrato inteligente se haga operativo.

Implementación de un programa de incentivos para reportar vulnerabilidades: Establecer un programa que incentive a hackers éticos e investigadores de seguridad a identificar y reportar fallas de seguridad puede ser increíblemente efectivo. Este tipo de programas, comúnmente conocidos como programas de recompensas por errores, pueden revelar brechas de seguridad que podrían no ser evidentes para el equipo interno o incluso a través de auditorías externas. Estas iniciativas fomentan el descubrimiento de vulnerabilidades, mejorando así la seguridad general del sistema.


Hack de LastPass

El 25 de octubre de 2023, unos ~$4,4 millones fueron drenados de más de 25 víctimas como resultado del hackeo de LastPass. Monahan, junto con otros detectives en cadena como el analista de blockchain pseudónimo ZachXBT, han implorado a los usuarios de criptomonedas que migren inmediatamente sus activos si alguna vez, incluso por un breve período, usaron LastPass para almacenar sus frases semilla o claves de cartera. A medida que los ataques continúan sin fin a la vista, Monahan ha contado públicamente las historias de numerosos amigos y conocidos que, al enterarse de los hackeos, consideraron cambiar de carteras pero no se movieron lo suficientemente rápido, solo para ser atacados por los hackers ellos mismos.

Cómo evitarlo

Para mitigar el riesgo de campañas de drenaje de carteras como la que involucra frases semilla comprometidas almacenadas en LastPass, se debe implementar la siguiente estrategia:

Almacenamiento seguro de frases semilla: Evite almacenar frases semilla o claves privadas en gestores de contraseñas basados en la nube, especialmente aquellos que han experimentado brechas. En su lugar, utilice métodos sin conexión como carteras de hardware, notas escritas en papel o discos cifrados para almacenar esta información crítica.

Auditoría regular del gestor de contraseñas: Si se utiliza un gestor de contraseñas para otras credenciales, audite regularmente su seguridad, actualice las contraseñas y habilite la autenticación de varios factores. Sea especialmente vigilante si el proveedor tiene un historial de incidentes de seguridad.

Aumento de la conciencia del usuario: Eduque a los usuarios sobre los riesgos de almacenar información sensible como frases semilla en plataformas en línea. Destaque la importancia de métodos de respaldo fuera de línea y físicos para credenciales críticas de criptomonedas.

Monitorización en tiempo real de las carteras: Implemente o utilice servicios que ofrezcan monitorización en tiempo real de carteras de criptomonedas. Cualquier transacción no autorizada puede detectarse rápidamente, permitiendo una respuesta más rápida a las posibles violaciones.


Hack de Onyx Protocol

Onyx Protocol fue explotado en la red principal de Ethereum debido a una vulnerabilidad de pérdida de precisión, lo que resultó en una pérdida de 1.164 ETH, con un valor aproximado de $2.100.794. El vector de ataque es un problema conocido en todas las bifurcaciones de Compound V2. El ataque es similar al exploit anterior en Hundred Finance, que sufrió una pérdida de aproximadamente $7 millones.

Midas Capital también fue explotado debido al mismo problema, lo que resultó en una pérdida de $600.000. Básicamente, el explotador apuntó a piscinas vacías que carecían de actividad crediticia, obteniendo así el control sobre la liquidez.

Cómo evitarlo

Para mitigar riesgos similares a los enfrentados por Onyx Protocol, donde una vulnerabilidad de pérdida de precisión resultó en pérdidas significativas, se deben implementar los siguientes pasos:

Auditorías de seguridad rigurosas realizadas por firmas de renombre: Antes de la implementación, los protocolos deben someterse a rigurosas auditorías de seguridad realizadas por firmas reconocidas especializadas en seguridad en blockchain. Estas auditorías deben centrarse específicamente en vulnerabilidades conocidas, como problemas de pérdida de precisión, especialmente para proyectos basados en bases de código bifurcadas como Compound V2.

Estar al tanto de las tendencias de vulnerabilidades: Actualizar regularmente el conocimiento sobre las últimas vulnerabilidades y vectores de ataque en el espacio DeFi es crucial. Los equipos deben monitorear activamente informes de seguridad, foros comunitarios y boletines para mantenerse informados sobre posibles peligros y amenazas emergentes, especialmente aquellos relevantes para la arquitectura de su protocolo.

Establecimiento de un programa de recompensas por errores: Implementar un programa de recompensas por errores puede alentar a hackers éticos e investigadores de seguridad a identificar y reportar vulnerabilidades. Estos programas deben ofrecer incentivos proporcionales a la gravedad de las fallas descubiertas, garantizando así un escrutinio exhaustivo del protocolo por expertos externos.

Al incorporar estas estrategias, los protocolos pueden fortalecer significativamente sus defensas contra amenazas de seguridad conocidas y emergentes, especialmente aquellas que se derivan de vulnerabilidades inherentes en bases de código bifurcadas. Este enfoque proactivo y completo de la seguridad es crucial para salvaguardar activos en el cambiante panorama de las finanzas descentralizadas.


```

Aviso y Descargo de Responsabilidad de Derechos de Autor

Todos los derechos reservados.

Todo el material que aparece en el sitio web de Zokyo (el “Contenido”) está protegido por derechos de autor según las leyes de derechos de autor de EE. UU. y es propiedad de Zokyo o de la parte acreditada como proveedor del Contenido. No puede copiar, reproducir, distribuir, publicar, mostrar, realizar, modificar, crear trabajos derivados, transmitir o de ninguna manera explotar dicho Contenido, ni puede distribuir ninguna parte de este Contenido a través de ninguna red, incluida una red de área local, venderlo u ofrecerlo para la venta, o usar dicho Contenido para construir cualquier tipo de base de datos. No puede alterar ni quitar ningún aviso de derechos de autor u otro aviso de copias del contenido en el sitio web de Zokyo. Está expresamente prohibido copiar o almacenar cualquier Contenido sin el permiso previo por escrito de Zokyo o el titular de los derechos de autor identificado en el aviso de derechos de autor del contenido individual. Para obtener permiso para usar el Contenido en el sitio web de Zokyo, comuníquese con hello@zokyo.io

Zokyo intenta asegurarse de que el contenido sea preciso y provenga de fuentes confiables, pero no garantiza que sea libre de errores. Zokyo puede agregar, modificar o derogar cualquier política, procedimiento o regulación, y no publicar oportunamente dichos cambios en su sitio web no se interpretará como una renuncia a la aplicación. Zokyo no garantiza que las funciones en su sitio web sean ininterrumpidas, que los defectos se corrijan, o que el sitio web esté libre de virus u otros componentes dañinos. Cualquier enlace a información de terceros en el sitio web de Zokyo se proporciona como cortesía y no constituye un respaldo de esos materiales o del tercero que los proporciona.

Aviso y Descargo de Responsabilidad de Derechos de Autor

Todos los derechos reservados.

Todo el material que aparece en el sitio web de Zokyo (el “Contenido”) está protegido por derechos de autor según las leyes de derechos de autor de EE. UU. y es propiedad de Zokyo o de la parte acreditada como proveedor del Contenido. No puede copiar, reproducir, distribuir, publicar, mostrar, realizar, modificar, crear trabajos derivados, transmitir o de ninguna manera explotar dicho Contenido, ni puede distribuir ninguna parte de este Contenido a través de ninguna red, incluida una red de área local, venderlo u ofrecerlo para la venta, o usar dicho Contenido para construir cualquier tipo de base de datos. No puede alterar ni quitar ningún aviso de derechos de autor u otro aviso de copias del contenido en el sitio web de Zokyo. Está expresamente prohibido copiar o almacenar cualquier Contenido sin el permiso previo por escrito de Zokyo o el titular de los derechos de autor identificado en el aviso de derechos de autor del contenido individual. Para obtener permiso para usar el Contenido en el sitio web de Zokyo, comuníquese con hello@zokyo.io

Zokyo intenta asegurarse de que el contenido sea preciso y provenga de fuentes confiables, pero no garantiza que sea libre de errores. Zokyo puede agregar, modificar o derogar cualquier política, procedimiento o regulación, y no publicar oportunamente dichos cambios en su sitio web no se interpretará como una renuncia a la aplicación. Zokyo no garantiza que las funciones en su sitio web sean ininterrumpidas, que los defectos se corrijan, o que el sitio web esté libre de virus u otros componentes dañinos. Cualquier enlace a información de terceros en el sitio web de Zokyo se proporciona como cortesía y no constituye un respaldo de esos materiales o del tercero que los proporciona.

Aviso y Descargo de Responsabilidad de Derechos de Autor

Todos los derechos reservados.

Todo el material que aparece en el sitio web de Zokyo (el “Contenido”) está protegido por derechos de autor según las leyes de derechos de autor de EE. UU. y es propiedad de Zokyo o de la parte acreditada como proveedor del Contenido. No puede copiar, reproducir, distribuir, publicar, mostrar, realizar, modificar, crear trabajos derivados, transmitir o de ninguna manera explotar dicho Contenido, ni puede distribuir ninguna parte de este Contenido a través de ninguna red, incluida una red de área local, venderlo u ofrecerlo para la venta, o usar dicho Contenido para construir cualquier tipo de base de datos. No puede alterar ni quitar ningún aviso de derechos de autor u otro aviso de copias del contenido en el sitio web de Zokyo. Está expresamente prohibido copiar o almacenar cualquier Contenido sin el permiso previo por escrito de Zokyo o el titular de los derechos de autor identificado en el aviso de derechos de autor del contenido individual. Para obtener permiso para usar el Contenido en el sitio web de Zokyo, comuníquese con hello@zokyo.io

Zokyo intenta asegurarse de que el contenido sea preciso y provenga de fuentes confiables, pero no garantiza que sea libre de errores. Zokyo puede agregar, modificar o derogar cualquier política, procedimiento o regulación, y no publicar oportunamente dichos cambios en su sitio web no se interpretará como una renuncia a la aplicación. Zokyo no garantiza que las funciones en su sitio web sean ininterrumpidas, que los defectos se corrijan, o que el sitio web esté libre de virus u otros componentes dañinos. Cualquier enlace a información de terceros en el sitio web de Zokyo se proporciona como cortesía y no constituye un respaldo de esos materiales o del tercero que los proporciona.