BeInCrypto - El pasado 28 de febrero, el usuario latino NachoCrypto publicó por su cuenta de Twitter solicitando ayuda a sus seguidores para comprender cómo le robaron más de 33,000 USDC que tenía en su monedero Metamask, conectado a la red de BNB Chain.
El usuario NachoCrypto quien se identifica como inversor en criptomonedas y degen, término de la comunidad para inversores de muy alto riesgo, publica en su tuit su monedero y el hash de la transacción donde se movieron sus 33 mil USDC, para que alguien lo orientara sobre que sucedió.
Tuit inicial de NachoCrypto. Fuente: Twitter
En eso empezó a recibir varias respuestas de usuarios de criptomonedas que revisaron en exploradores de bloques, como BSCscan, para comprender que sucedió. Unos usuarios le comentaron que el problema fue que aprobó un contrato phishing, se les llama así a contratos maliciosos que pueden drenar tu monedero al momento de aprobar cualquier interacción.
Ante esta posibilidad, el usuario destaca que no había tocado ese monedero en 6 meses, que es un monedero que usa desde el 2021 y que no seguía ningún protocolo de seguridad, al momento de interactuar con múltiples plataformas Defi de la BNB Chain. Por lo cual no resultaba probable este caso sobre el robo de su monedero de USDC, ya que no había aprobado nada recientemente.
El robo del monedero de USDC fue más complicado de lo que parece
Otro usuario buscó más a fondo y le sugirió que probablemente sea un contrato viejo con el que interactuó en el pasado, llamado SwapX y cambió su nombre a LaunchZone. Justo el 27 de febrero en la mañana, esta plataforma fue hackeada, drenando el equivalente a 700,000 USD en criptomonedas y desplomando el precio de su token LZ. Es posible que el hacker de la plataforma, consiguiera acceso al manejo de los contratos de intercambios de esta plataforma.
Posible explicación de cómo drenaron el monedero de NachoCrypto. Fuente: Twitter
Luego, a horas de la tarde de ese 27 de febrero, Ancilia, Inc, una agencia de seguridad de la BNB Chain, alertaba por su cuenta de Twitter que justamente la dirección, que iniciaba con 0x6d89, por la cual drenaron a NachoCrypto sus 33 mil USDC, estaba drenando los fondos de todas las direcciones que aprobaron un intercambio con esta en el pasado, ya que antes del hackeo funcionaba como un exchange descentralizado, DEX por sus siglas en inglés.
Alerta de “token approval exploit” emitida por Ancilia. Fuente: Twitter
La firma de ciberseguridad explica en su hilo que al menos 22,060 direcciones habían aprobado el acceso a la dirección maliciosa 0x6d89 en el pasado. Con la vulnerabilidad que estaba explotando el hacker, para el 27 de febrero, logró robar el equivalente a más de 460 BNB, más de unos 138,000 USD, que pasó directamente a Tornado Cash para borrar sus rastros. Los 33 mil USDC de NachoCrypto estarían incluidos en ese botín.
El 28 de febrero, Ancilia detecto un comportamiento similar del hacker con el contrato vulnerable 0x2658. Con el mismo método, el atacante robó el equivalente a unos 1,330 BNB, más de 398,000 USD, que también pasó por Tornado Cash. Este contrato se le otorgó acceso desde 32,282 direcciones, en el pasado.
Entonces, con la información reportada por Ancilia, el hacker terminó robando con estas vulnerabilidades más de 536,000 USD. Si suponemos que fue el mismo hacker de la plataforma, LaunchZone robó más de 1,236,000 USD en criptomonedas con estos movimientos.
¿Qué sucederá con las víctimas?
En vistas que el hacker ocultó el rastro de sus transacciones al pasarlas por Tornado Cash, por el momento, el atacante se ha escapado con el botín. Todo esto, descartando cualquier trabajo interno por parte de quienes mantenían la plataforma LaunchZone.
Por su parte, este 28 de febrero la plataforma Defi LaunchZone aseguró que se haría responsable de las pérdidas ocasionadas por el hacker, a los inversores de la plataforma. Dejando claro, que solo sería a las víctimas cuyos fondos fueran drenados a las 24 horas de dicho anuncio.
Anuncio de compensación por LaunchZone. Fuente: Twitter.
Luego, el 01 de marzo, la plataforma anunció que van a disolver la empresa, ya que hay miembros que no desean responder por el hackeo. Los miembros que si tienen la intención de responder, formarán una DAO llamada reDAO, con la finalidad de emitir un token nuevo y tratar de pagarles a las víctimas afectadas por el hackeo, de alguna forma.
¿Qué se puede hacer para evitar ser hackeado así?
Siendo un incidente desafortunado para todas las víctimas, este tipo de hackeo puede ser evitado. El mundo de las Defi, por su carácter descentralizado, es un campo sin ley donde hay que ser bastante cuidadosos y tener buenas prácticas de ciberseguridad.
Entre las prácticas más recomendadas al momento de interactuar con cualquier proyecto Defi / Web3, es certificar que es el proyecto real, ya que la usurpación de contratos es bastante común. Páginas como CoinMarketCap o CoinGecko ayudan a confirmar cuáles son las direcciones reales de los proyectos.
Una práctica específica al caso explicado, sería lo de revocar todos los permisos de todas las plataformas Defi que alguna vez usaste y ya ni te acuerdas de eso. En la actualidad, existen muchas formas de hacerlo. Con revocar esos permisos, te evitas el mismo destino que el usuario NachoCrypto .
Por último, “no coloquen todos los huevos en la misma cesta”. Siempre es importante tener varios monederos para diferentes usos y manejarlos con diferentes montos en cada uno, dependiendo su uso, como: ahorró, uso común con plataformas conocidas, uso común con plataformas de alto riesgo y para pagos con criptomonedas, por mencionar unos ejemplos.
El post ¡Cuida tus fondos! Así le robaron 33 mil USDC de su monedero fue visto por primera vez en BeInCrypto.