Radiant Capital ha publicado un análisis detallado del exploit del 16 de octubre que provocó la pérdida de más de 50 millones de dólares en fondos de los usuarios.
Según la autopsia, el atacante utilizó malware muy avanzado para envenenar las transacciones, lo que les permitió robar fondos durante un proceso rutinario de firmas múltiples.
La metodología de ataque aprovechó los errores comunes
Todo comenzó cuando el pirata informático comprometió las carteras duras de tres de los principales desarrolladores del protocolo y les inyectó malware que imitaba transacciones legítimas. Cuando los desarrolladores firmaron lo que creían que eran ajustes de emisiones de rutina, el malware ejecutó transacciones no autorizadas en segundo plano.
Radiant Capital reiteró que sus contribuyentes siguieron los procedimientos operativos estándar al pie de la letra en el fatídico proceso. Simularon cada transacción para mayor precisión en la plataforma de infraestructura Web3 de pila completa, Tenderly, y al mismo tiempo las sometieron a una revisión individual en cada etapa de firma.
A pesar de estas múltiples capas de verificación, las comprobaciones iniciales no mostraron signos visibles de anomalías incluso cuando el malware se abrió camino en los sistemas del protocolo.
Lo que también destacó en la empresa evaluación Así fue como el atacante aprovechó las fallas comunes en las transacciones para ejecutar el hack. Utilizaron reenvíos de billeteras, a menudo causados por fluctuaciones en el precio del gas o congestión de la red, como cobertura para recopilar las claves privadas, todo ello manteniendo la apariencia de normalidad.
Luego, el perpetrador obtuvo el control de algunos contratos inteligentes y finalmente desvió millones de dólares en criptomonedas, incluidos USDC, BNB envuelto (wBNB) y Ethereum (ETH).
La cantidad real robada varía entre 50 y 58 millones de dólares, dependiendo de la fuente que lo informe. Sin embargo, la plataforma de finanzas descentralizadas (DeFi) ha indicado la cifra más baja en su contabilidad del incidente.
El FBI recurre a la ayuda para recuperar fondos robados
En el informe, el prestamista de cadenas cruzadas dijo que está trabajando estrechamente con las autoridades estadounidenses, incluido el FBI, así como con las empresas de ciberseguridad SEAL911 y ZeroShadow para rastrear las criptomonedas robadas.
Además, como medida de precaución, recomendó a los usuarios revocar las aprobaciones en todas las cadenas, incluidas Arbitrum, BSC y Base. Este paso es una respuesta a que el explotador aproveche las aprobaciones abiertas para drenar fondos de las cuentas.
Radiant Capital también creó nuevas billeteras frías y ajustó los umbrales de firma para mejorar la seguridad de la plataforma. Asimismo, ha introducido un retraso obligatorio de 72 horas para todas las actualizaciones de contratos y transferencias de propiedad. Su objetivo es darle a la comunidad tiempo suficiente para verificar las transacciones antes de la ejecución final.
Sin embargo, dado el nivel de sofisticación de la infracción, la empresa ha admitido que ni siquiera estas medidas habrían evitado el ataque.
Los exploits de DeFi han crecido a un ritmo alarmante y un par de encuestas recientes pintan un panorama sombrío. Según PeckShield, hubo más de 20 ataques en septiembre, lo que provocó pérdidas de más de 120 millones de dólares.
Además, otra empresa de seguridad en cadena, Hacken, anunció que más de 440 millones de dólares robados de plataformas criptográficas en el tercer trimestre de 2024 se habían perdido para siempre.
Binance Free $600 (exclusivo de CryptoPotato): use este enlace para registrar una nueva cuenta y reciba una oferta de bienvenida exclusiva de $600 en Binance (detalles completos).
OFERTA LIMITADA 2024 en BYDFi Exchange: ¡Recompensa de bienvenida de hasta $2,888, use este enlace para registrarse y abrir una posición de 100 USDT-M gratis!