Este fin de semana, varios usuarios de Atomic Wallet sufrieron el robo de criptomonedas por valor de al menos 14 millones de dólares. Aunque los equipos de la billetera dijeron que estaban investigando las causas del hackeo, desde entonces se han mantenido herméticos sobre los detalles
Hack en curso en Web3 Atomic Wallet
El sábado, los equipos del monedero de criptomonedas Atomic Wallet informaron de que habían recibido varias quejas de usuarios que habían visto desaparecer fondos, sin dar más información, invitando a los afectados a contactar con soporte:
Hemos recibido denuncias de monederos comprometidos. Estamos haciendo todo lo posible para investigar y analizar la situación. A medida que dispongamos de más información, la iremos compartiendo.
Para cualquier pregunta o duda, póngase en contacto con [email protected]
– Atomic – Crypto Wallet (@AtomicWallet) 3 de junio de 2023
En realidad, resulta que sí hubo un hackeo de la billetera, y que muchos fondos desaparecieron en varias blockchains diferentes.
Atomic Wallet, que se dice que tiene más de 5 millones de usuarios, funciona como una pieza de software que instalas en tu ordenador, y soporta más de 1.000 criptodivisas, incluyendo BTC y ETH en particular.
El detective en cadena ZachXBT señaló que la mayor pérdida individual fue de 2,8 millones de USDT, y contabilizó más de 14 millones de dólares en criptodivisas robadas, estimando que la pérdida total podría superar los 20 millones de dólares:
Algunas cosas a tener en cuenta sobre este hack.
La mayor víctima que he observado es de 2,8 millones de USDT. Múltiples otras pérdidas de 6 cifras a través de diferentes cadenas.
Gracias a todas las víctimas que me han enviado su hash de transacción. La causa sigue siendo tbd. https://t.co/4sybXUrXBo pic.twitter.com/or2b3eMvIs
– ZachXBT (@zachxbt) 3 de junio de 2023
Por su parte, Taylor Monahan señaló que esta oleada de ataques tendría lugar entre las 21:45 UTC del 2 de junio y las 15:30 UTC del 3 de junio.
Cada vez se utilizaría el mismo modus operandi: el atacante envía todas las altcoins de la dirección objetivo a otra dirección, luego termina con la criptodivisa nativa de la blockchain en cuestión, intercambia todo por esa misma criptodivisa como ETH en Ethereum, y luego envía los fondos a una nueva dirección:
Earlyest Txn Date I have is June 2 2023 @ 21:45 UTC
Latest Txn Date I have is June 3, 2023 @ 15:30pm UTCen cadena los drenajes se ven así:
1. cada token y luego el activo base es barrido de la dirección de las víctimas a una nueva dirección
2. el hacker entonces intercambia todos los tokens para el…
– Tay (@tayvano_) June 3, 2023
Fallos de seguridad críticos conocidos a priori
Las circunstancias exactas de estos robos no parecen haberse establecido todavía, pero hay indicios de que los equipos de Atomic Wallet conocían los fallos críticos, pero no tomaron las medidas necesarias para corregirlos.
Por ejemplo, Taylor Monahan compartió una página de blog archivada de la firma de seguridad de blockchain Least Authority, que advertía de problemas graves ya en febrero de 2022:
Que te jodan @AtomicWallet
Que te jodan @gladkos
Que te jodan @Changelly_team
Vuestra postura de seguridad apesta, os negáis a escuchar a la gente, silenciáis agresivamente a la gente, y vuestros productos y servicios facilitan el robo a diario y lo han hecho durante años.https://t.co/lkpmDauNLO
– Tay (@tayvano_) June 3, 2023
De hecho, uno de los pasajes de esta página archivada es inequívoco:
«Debido al estado actual de diseño e implementación, tal y como se detalla en los problemas y sugerencias descritos en nuestro informe final de auditoría, no consideramos que Atomic Wallet sea lo suficientemente segura como para proteger los activos y datos privados de los usuarios. En consecuencia, recomendamos encarecidamente que el equipo de Atomic Wallet informe inmediatamente a los usuarios de las vulnerabilidades de seguridad existentes. «
Por su parte, ZachXBT informa que un millón de dólares pertenecientes a una de las víctimas fue salvado de la billetera del hacker, sin detallar cómo se hizo:
Un enorme saludo a @buffalu__ @brian_smith_0 por ayudarnos a rescatar con éxito un millón de dólares del hacker de Atomic Wallet para una de las víctimas.
– ZachXBT (@zachxbt) 4 de junio de 2023
En el momento de redactar este artículo, Atomic Wallet aún no había dado ninguna información más precisa, dejando a sus usuarios a oscuras sobre lo que iba a ocurrir a continuación. Por lo tanto, recomendamos encarecidamente que retire sus fondos de esta cartera.
También es importante que consideres asegurar tus fondos con un monedero físico.
