$10 Millón de Cripto Robos Ruteados a Tornado Cash Expone Vulnerabilidades Críticas de Seguridad

Un "whale" de criptomonedas que fue víctima de un sofisticado ataque de phishing el año pasado ha visto que $10 millones en Ether robado se movieron al servicio de mezcla de criptomonedas Tornado Cash, destacando las persistentes amenazas de seguridad en el ecosistema de activos digitales.

Movimiento de Fondos Mayor del Hackeo de Septiembre

El 21 de marzo, la firma de seguridad blockchain CertiK identificó actividad sospechosa donde una cuenta vinculada al incidente de phishing de septiembre de 2023 transfirió 3,700 ETH ( aproximadamente $10 millones ) a Tornado Cash. Esta transferencia representa una parte significativa de los $24 millones en activos robados durante el ataque original del 6 de septiembre de 2023.

La víctima, una ballena de criptomonedas, perdió una cantidad sustancial de activos digitales en ETH apostado a través del servicio de liquidez de staking de Rocket Pool. El ataque sofisticado ocurrió en dos fases distintas:

• Primera fase: Eliminación de 9,579 stETH
• Segunda fase: Robo de 4,851 rETH

Análisis Técnico de la Exploit

El proyecto de seguridad Scam Sniffer reveló la vulnerabilidad técnica que permitió el ataque: la víctima había autorizado una transacción de "Aumentar Permiso", lo que resultó catastrófico. Esta función específica del contrato inteligente permite a terceros gastar tokens ERC-20 que pertenecen a otros, con consentimiento.

Cómo funcionó el ataque:

1. La víctima autorizó una transacción de "Aumentar Asignación"
2. El atacante obtuvo derechos de aprobación sobre los tokens de la víctima
3. Se explotó la funcionalidad de contrato inteligente para transferir tokens
4. Los activos fueron convertidos para maximizar la anonimidad

La brecha de seguridad ha provocado una intensa discusión en la comunidad de criptomonedas sobre los riesgos inherentes de las aprobaciones de tokens, particularmente al interactuar con contratos inteligentes potencialmente maliciosos.

Conversión de Activos y Ruta de Lavado

La firma de inteligencia blockchain PeckShield rastreó las acciones posteriores del atacante, documentando cómo los activos robados se convirtieron sistemáticamente en:

• 13,785 ETH
• 1.64 millones de activos digitales Dai

Tras la conversión, partes del DAI fueron dirigidas al intercambio FixedFload, mientras que los fondos robados restantes se distribuyeron en múltiples direcciones de billetera para oscurecer su origen antes de la última transferencia de Tornado Cash.

Creciente Tendencia de Explotaciones de Aprobación

Este incidente representa parte de un patrón preocupante en las violaciones de seguridad de criptomonedas. Solo en febrero, se perdieron casi $47 millones debido a estafas relacionadas con phishing, según el informe de Scam Sniffer, con:

• 78% de los robos ocurridos en la red de Ethereum
• Los tokens ERC-20 representan el 86% de todos los fondos robados

Las vulnerabilidades de aprobación de tokens continúan causando pérdidas significativas. Justo un día antes de que se identificara esta transferencia de $10 millones, un contrato obsoleto que anteriormente había sido utilizado por el intercambio Dolomite fue explotado, drenando $1.8 millones de usuarios que habían otorgado permisos al contrato. Los desarrolladores de Dolomite instaron posteriormente a los usuarios a revocar todos los consentimientos a la dirección del contrato comprometido.

Respuestas Rápidas Previenen Pérdidas Adicionales

Aunque muchos ataques resultan en pérdidas sustanciales, las rápidas respuestas de seguridad pueden mitigar el daño. El 20 de marzo, el equipo de Layerswap logró prevenir una explotación adicional después de que su sitio web fuera comprometido, gracias a la rápida intervención de su proveedor de dominio. A pesar de su rápida acción, los atacantes aún lograron extraer aproximadamente $100,000 de alrededor de 50 usuarios. Layerswap se ha comprometido a reembolsar a los usuarios afectados y proporcionar una compensación adicional por las molestias.

Estos incidentes recurrentes subrayan la importancia crítica de la vigilancia de seguridad en las transacciones de criptomonedas. La explotación de las funciones de aprobación de tokens y las vulnerabilidades de los contratos inteligentes destaca la necesidad de una mayor educación del usuario y una cuidadosa verificación de todas las interacciones con contratos para prevenir pérdidas innecesarias de activos en un entorno de amenazas cada vez más sofisticado.