Los 5 mejores hacks de criptomonedas y DeFi de todos los tiempos

En el apasionante pero arriesgado mundo de las criptomonedas, la búsqueda de la libertad financiera no ha estado exenta de desafíos. A medida que las monedas digitales continúan ganando prominencia (y precios más altos), también se han convertido en un objetivo principal para actores maliciosos que buscan explotar vulnerabilidades para obtener ganancias financieras. En esta exploración, profundizaremos en los peores hackeos de criptomonedas de todos los tiempos, desde Mt. Gox hasta años más recientes (hasta 2023).

Además, también nos aventuraremos en el ámbito de las criptomonedas basadas en DAG y examinaremos casos en los que estas innovadoras redes basadas en gráficos acíclicos dirigidos enfrentaron su propio conjunto único de desafíos de seguridad. Prepárese para un viaje a través de los altibajos del mundo de las criptomonedas, donde la innovación se encuentra con la vulnerabilidad y donde hay más en juego que nunca.

monte gox

Estrictamente hablando, en teoría, ha habido ataques que obtuvieron una recompensa mayor desde este en 2014. Pero todo el mundo criptográfico ese año fue, básicamente, solo Bitcoin (BTC); y Mt. Gox era el principal intercambio de Bitcoin del mundo. La plataforma manejaba más del 70% del total de transacciones a nivel mundial en medio de precios muy volátiles. Luego, después de numerosos problemas y hackeos ocultos, en febrero de 2014 se revelaron graves problemas de solvencia.

Todos los retiros se detuvieron con débiles excusas el 7 de febrero. El 23 de febrero, el director ejecutivo, Mark Karpelès, renunció a la junta directiva de la Fundación Bitcoin y eliminó todos los tweets de Mt. Gox. Al día siguiente, el sitio web se desconectó y documentos filtrados indicó la pérdida de 744.408 BTC (alrededor de $473 millones en ese momento). Eso sería más de 19.100 millones de dólares a precios actuales [CMC].

Como se lee en los documentos filtrados, los piratas informáticos estuvieron desviando Bitcoin de Mt. Gox durante varios años, sin que la empresa lo supiera. De acuerdo a La investigación de WizSec De alguna manera, los piratas informáticos lograron robar la clave privada de la billetera activa (en línea) de Bitcoin de Mt. Gox, lo que les permitió manejar los fondos del intercambio a su voluntad. Debemos decir que su seguridad no era la mejor, ya que Bitcoin como libro de contabilidad no fue pirateado, sino sólo el intercambio.

Debido al tamaño aún pequeño de la comunidad criptográfica en esos años, el golpe fue devastador. Bitcoin perdió más del 43% desde febrero y hasta diciembre. No mostraría signos de mejora hasta finales de 2015. Las víctimas del hackeo de Mt. Gox, por su parte, tuvieron que esperar años para recibir algún tipo de esperanza de reembolso. Después de una gran batalla legal, el administrador de Mt. Gox está listo para finalmente pagar los acreedores de la bolsa a finales de octubre de 2023.

cheque de monedas

En enero de 2018, Coincheck, un destacado intercambio de criptomonedas japonés, fue víctima de uno de los mayores hackeos de criptomonedas de la historia. Los piratas informáticos explotaron las vulnerabilidades en los sistemas de seguridad del intercambio y obtuvieron acceso a la billetera activa (en línea) de Coincheck. Robaron aproximadamente 523 millones de tokens NEM (XEM), valorados en casi 530 millones de dólares en ese momento.

Según lo informado por algunas fuentes , la infracción se ejecutó mediante el envío de correos electrónicos infectados con malware a los empleados de Coincheck, lo que permitió a los atacantes obtener el control de los sistemas internos. Una vez dentro, transfirieron rápidamente los tokens XEM robados a varias direcciones, lo que dificultó el seguimiento de los fondos.

Posteriormente, Coincheck enfrentó un intenso escrutinio por parte de los reguladores, lo que llevó a mejores medidas de seguridad y a un esfuerzo de reembolso masivo . El intercambio prometido compensar a los usuarios afectados devolviendo sus tokens XEM robados a una tasa de 88.549 JPY por moneda, significativamente por debajo del valor de mercado en ese momento. Lo hicieron con sus propios fondos.

A pesar de la esfuerzos de reembolso , este truco tuvo un impacto significativo tanto en Coincheck como en la comunidad de criptomonedas en general. Sirvió como un claro recordatorio de los riesgos de seguridad asociados con los intercambios centralizados de criptomonedas y la importancia de protocolos de seguridad sólidos. El manejo del incidente por parte de Coincheck generó dudas sobre la seguridad de los fondos confiados a las bolsas y llevó a las autoridades reguladoras de todo el mundo a reforzar su supervisión de las plataformas de criptomonedas para proteger a los inversores y evitar futuras infracciones.

Centro de tokens BSC

La marca Binance tampoco ha estado exenta de problemas. El 7 de octubre de 2022, el puente nativo de cadena cruzada de BNB Smart Chain entre BNB Beacon Chain y BNB Smart Chain fue víctima de un pirateo. El exploit resultó en la suspensión temporal de Binance Smart Chain para contener el daño. El atacante acuñó ilícitamente 2 millones de tokens BNB, valorados en aproximadamente 566 millones de dólares en ese momento. El equipo congeló rápidamente la mayor parte, pero el hacker logró mover aproximadamente 137 millones de dólares a otras cadenas.

El incumplimiento comenzó cuando el atacante recibió 100 BNB de una billetera ChangeNOW el 5 de octubre de 2022. Esto les permitió registrarse como Relayer para BSC Token Hub, que facilita las transacciones entre cadenas entre BNB Beacon Chain (BEP2) y Binance Smart Chain (BEP20). . El atacante aprovechó una vulnerabilidad en la forma en que BSC Token Hub verificaba las pruebas, falsificando mensajes arbitrarios e iniciando la creación y retiro de 2 millones de BNB en dos transacciones.

En lugar de transferir inmediatamente los fondos robados a los intercambios, el atacante utilizó Venus, un protocolo de préstamos popular en BNB Chain. Garantizaron 900.000 BNB para pedir prestado monedas estables como USDT, USDC y BUSD en cinco transacciones, por un valor de más de 250 millones de dólares . Luego, estas monedas estables se enrutaron a múltiples cadenas mediante puentes y se emplearon varios productos DeFi para evitar la detección.

Después del hack, BSC detuvo la cadena debido a actividad irregular, impidiendo nuevos movimientos de fondos. Los equilibrios del atacante a través de las cadenas fueron monitoreados de cerca. BNB Chain implementó un hardfork (actualización) para abordar las vulnerabilidades e introdujo un nuevo mecanismo de gobernanza en cadena para luchar contra futuros ataques.

Red polivinílica

Poly Network, un protocolo de interoperabilidad que facilita el comercio entre diferentes cadenas, fue víctima de un exploit el 10 de agosto de 2021. Fue orquestado por piratas informáticos anónimos, lo que resultó en la transferencia de más de 610 millones de dólares en criptomonedas a su control. Robaron ETH, USDC, DAI, UNI, SHIB, FEI, MATIC y varios tokens BSC; todos ellos de miembros de la comunidad en general. En particular, este fue uno de los incidentes de seguridad más grandes en la historia de las finanzas descentralizadas (DeFi).

los piratas informáticos trasladó los fondos robados a direcciones que controlaban en Ethereum, Binance Smart Chain y Polygon. Después del ataque, el equipo de Poly pidió a los exchanges y a los mineros que monitorearan el flujo de los tokens robados e instó a detener las transacciones del hacker. Tether congeló USDT por valor de 33 millones de dólares.

En un giro sorprendente de los acontecimientos, los piratas informáticos anunciaron el 11 de agosto de 2021 su intención de devolver los tokens , alegando que el robo tenía como objetivo exponer vulnerabilidades y mejorar la seguridad de Poly Network. Usaron mensajes incrustados en transacciones para comunicarse públicamente.

El equipo de protocolo, en respuesta, inició el proceso de recuperación y se refirió a los piratas informáticos como "Sr. Sombrero Blanco". Ofrecieron una recompensa de 500.000 dólares por errores y el papel de "asesor jefe de seguridad" para garantizar el retorno seguro de los activos restantes. La última parte de los fondos robados fue devuelta el23 de agosto .

El incidente provocó cierta controversia sobre el uso del término "sombrero blanco" para los piratas informáticos, con la preocupación de que podría sentar un precedente para que los piratas informáticos criminales desinfecten sus acciones. Sin embargo, Poly Network lanzó un programa de recompensas por errores para mejorar la seguridad, invitando a agencias de seguridad y organizaciones de sombrero blanco a auditar sus funciones principales. Se ofrecieron recompensas de hasta 100.000 dólares por vulnerabilidades críticas.

Ronin (Axie Infinito)

Este se considera el mayor hackeo jamás realizado en el mundo de las criptomonedas. El 23 de marzo de 2022, Ronin Network, una cadena lateral de Ethereum para el juego Axie Infinity, fue víctima de un ataque masivo. Los piratas informáticos se llevaron 173.600 ETH y 25,5 millones de USDC, por un total más de $625 millones , superando los atracos de criptomonedas que batieron récords anteriores.

El truco explotó el puente Ronin, un componente crucial para las transferencias de activos entre Ronin y otros ecosistemas. Los atacantes obtuvieron el control de cuatro claves de validación de Ronin alojadas en Sky Mavis (la compañía detrás de Axie Infinity). Es común en las blockchains que esta pequeña cantidad de claves sea suficiente para hacerse con el control de la red. Para completar su esquema, aprovecharon una puerta trasera a través de un nodo RPC sin gas, obteniendo la firma para el validador Axie DAO. Esto les otorgó el control de todas las claves necesarias para realizar retiros falsos.

Sky Mavis detectó la infracción después de que un usuario informara problemas de retiro, seis días después del ataque . Si bien una parte importante de los fondos robados permaneció en manos de los piratas informáticos, intentaron retirar cantidades más pequeñas a través de intercambios de cifrado centralizados. Al menos, Sky Mavis comprometida reembolsar a sus usuarios.

El incidente provocó que el precio del token de Ronin cayera en más de un 20%, lo que exacerbó las preocupaciones dentro del espacio DeFi, que ya se enfrenta a una serie de ataques de alto perfil. Los intercambios de cifrado Binance y Huobi se comprometieron a ayudar a rastrear y devolver los fondos robados a los usuarios de Axie Infinity, mientras que Sky Mavis está cooperando con agencias gubernamentales para llevar a los piratas informáticos ante la justicia.

¿Es todo esto posible en un DAG como Obyte?

Los libros de contabilidad de gráficos acíclicos dirigidos (DAG) como Obyte tienen su propia estructura única y mecanismos de consenso, que pueden ofrecer ciertas ventajas en términos de descentralización en comparación con los sistemas blockchain. Sin embargo, no son totalmente inmunes a las vulnerabilidades de seguridad y posibles ataques.

Los vectores de ataque específicos y hazañas potenciales pueden diferir de los de blockchain, pero los sistemas basados en DAG aún pueden ser susceptibles a varios tipos de ataques. Algunas posibles preocupaciones, según la plataforma involucrada, incluyen:

• Ataques Sybil: los perpetradores crean numerosas identidades o nodos falsos para controlar una red, comprometiendo su confianza, seguridad y mecanismos de consenso a través de influencia y manipulación artificiales. Sólo algunos DAG diseñados ingenuamente son vulnerables a este problema y, por lo general, lo resuelven mediante la centralización (por ejemplo, IOTA).
  

• Vulnerabilidades de contratos inteligentes: explotar fallas de codificación para ejecutar acciones no autorizadas, desviar activos o interrumpir aplicaciones descentralizadas, lo que a menudo genera pérdidas financieras.
  

• Doble gasto: un acto fraudulento en el que un usuario duplica una transacción de criptomonedas, lo que le permite gastar los mismos activos digitales varias veces, lo que socava la integridad del libro mayor. Al igual que en las cadenas de bloques, este problema ocurre sólo si el usuario acepta un pago sin esperar su finalidad (o sin esperar lo suficiente si no hay una finalidad determinista).
  

• Centralización potencial: algunos DAG tienen el riesgo de sufrir un control o influencia excesivos por parte de unas pocas entidades en una red (como empresas, mineros o validadores), erosionando su descentralización y potencialmente comprometiendo su seguridad, inmutabilidad y confiabilidad. Sin embargo, este no es el caso de los proveedores de pedidos en Obyte.
  

• Fallos de los intercambios externos: las vulnerabilidades en los intercambios externos de criptomonedas pueden provocar violaciones de seguridad, incidentes de piratería informática o insolvencia de los intercambios, lo que provoca pérdidas financieras sustanciales e interrupciones en las actividades comerciales.

  
  

No todos los DAG son susceptibles a todos estos problemas y tienen sus propios métodos para evitarlos. Entonces, si bien los DAG ofrecen su propio conjunto de ventajas, no son inmunes a las preocupaciones de seguridad. La naturaleza específica de los posibles ataques puede diferir, pero los principios fundamentales para proteger un libro de contabilidad descentralizado aún se aplican. Es esencial evaluar y abordar continuamente las vulnerabilidades de seguridad en cualquier sistema basado en blockchain o DAG.

Por eso Obyte tiene un programa de recompensas por errores en Immunefi, donde cualquiera puede informar un error, si lo encuentra. Ofrecemos hasta 50.000 dólares por error crítico. Hasta ahora, Obyte ha pagado alrededor de 5.000 dólares a los sombreros blancos a través de Immunefi –y alrededor de 10.000 dólares por informes de errores antes de este programa. ¡La seguridad siempre es esencial para cualquier tipo de plataforma criptográfica!

Imagen vectorial destacada por Freepik