El mercado de criptomonedas sigue atrayendo la atención tanto de inversores como de delincuentes. Recientemente, se produjo un incidente de seguridad de alto perfil que puso en peligro la reputación de una de las mayores bolsas de criptomonedas del mundo: Bybit. Según estimaciones de los expertos, los hackers pudieron robar la cifra récord de 1.460 millones de dólares. Este evento se ha convertido en el mayor robo digital de la historia.
Según los analistas, los delincuentes utilizaron un complejo esquema de varios pasos, que incluía ataques de phishing a los empleados de la bolsa y la piratería del sistema de seguridad. Hablamos con el desarrollador líder Evgeny Frolikov, que creó un sistema que encuentra y corrige de forma independiente las vulnerabilidades en el software de las empresas, sobre cómo los ciberdelincuentes consiguieron acceder a los fondos y retirarlos del cripto-monedero.
"El incidente de Bybit no es casual. En los últimos años, las bolsas de criptomonedas han sido atacadas repetidamente por hackers. Según las estadísticas, los ciberataques son uno de los principales problemas a los que se enfrentan las bolsas de criptomonedas. Las vulnerabilidades en los sistemas de seguridad y la insuficiente protección de los datos de los usuarios resultan ser un terreno fértil para los delincuentes, y la escasez de especialistas experimentados en ciberseguridad también agrava la situación.
La principal característica de este hackeo es no el robo "clásico" de claves privadas, sino la toma de control de la mecánica de multifirma mediante la sustitución de la "copia maestra" del contrato inteligente. En términos sencillos, los hackers encontraron una forma de sustituir el "motor" o el código base del monedero multifirma, en el que se almacenaba la mayor parte de los fondos", - dice Evgeny Frolikov.
¿Cómo se hizo esto técnicamente posible y por qué el ataque fue tan eficaz?
En la mayoría de las bolsas de criptomonedas, los monederos fríos (o "actualizables") funcionan de tal manera que el código del monedero puede modificarse si el número necesario de firmantes confirma una "solicitud" de actualización. Por lo tanto, los hackers introdujeron una transacción sustituida. Para ello, los atacantes desplegaron dos contratos inteligentes especiales llamados: un "troyano" (trojan contract), que creaba la apariencia de una transacción inofensiva, es decir, parecía una solicitud normal de transferencia de tokens, y un "backdoor" (backdoor contract), que daba a los hackers acceso total al monedero después de la "actualización".
Los empleados que pensaban que confirmaban una simple transferencia de tokens, en realidad estaban autorizando una actualización del monedero, que conectaba el contrato "backdoor" de los atacantes en lugar del código seguro original.
Una vez realizada la sustitución, los hackers obtuvieron el control total del monedero. Inmediatamente utilizaron funciones especiales ("sweepETH", "sweepERC20") para "barrer" todos los fondos (ether y tokens) a sus direcciones. Por eso los hackers consiguieron transferir el 70% de los activos de Ethereum de la bolsa en cuestión de minutos.
¿Por qué las precauciones de la bolsa de criptomonedas y las comprobaciones habituales podrían no haber funcionado?
En primer lugar, es el engaño de los firmantes: los empleados que firman se basan en una interfaz "legible", donde se especifican los detalles de transferencia "seguros", y no leen el código técnico real que están firmando. Sin embargo, los datos reales de la transacción estaban ocultos tras la interfaz. Incluso si el sistema tiene un control de varios pasos, la ingeniería social o la sustitución de la interfaz pueden engañar a varios funcionarios responsables a la vez.
Y en segundo lugar, la flexibilidad de la actualización: la posibilidad de cambiar el código del monedero es conveniente, pero si no se configuran comprobaciones adicionales, se puede "actualizar" repentinamente a una versión maliciosa.
¿Qué lecciones ha aprendido de esto el mercado mundial de la criptoindustria?
Basándome en mi experiencia, puedo decir que para aumentar el nivel de seguridad en la industria de las criptomonedas, debe producirse una serie de cambios para una mayor seguridad de las plataformas. En primer lugar, las plataformas deben invertir en tecnologías de protección y contratar a expertos en ciberseguridad. Las bolsas de criptomonedas deben desarrollar protocolos de seguridad más estrictos, que incluyan la autenticación multifactor y el cifrado de los datos de los usuarios.
El segundo paso importante debe ser la apertura del acceso a los fondos de reserva. La creación de reservas separadas y bien protegidas evitará la pérdida total de los fondos de los usuarios en caso de un ataque con éxito. También deben realizarse activamente auditorías de seguridad periódicas y pruebas de vulnerabilidades de los sistemas. En cuanto a las principales lecciones para el mercado, mencionaría lo siguiente:
- Auditoría periódica de los contratos actualizables. Cualquier "proxy actualizable" debe comprobarse para detectar la posibilidad de un cambio no autorizado de la "copia maestra".
- Transparencia de las transacciones: las personas responsables de las firmas no sólo deben ver una "bonita descripción" de la operación, sino también comprobar qué código se va a ejecutar.
- Restricción de los derechos de actualización. Puede utilizarse un modelo más estricto, en el que el cambio de contrato sólo sea posible después de una "ventana de tiempo", para que otros firmantes y auditores tengan la oportunidad de detectar una anomalía.
- Separación de funciones. No todos los firmantes deberían tener el mismo peso a la hora de actualizar el monedero. Puede designar firmantes "especializados" que sólo sean responsables de las actualizaciones técnicas, que se someten a un procedimiento de comprobación independiente.
El robo de 1.460 millones de dólares de la bolsa de criptomonedas Bybit es una señal de alarma para toda la industria. Este tipo de eventos subrayan la importancia de la seguridad en el ámbito de las criptomonedas y la necesidad de prestar atención a la protección de los datos de los usuarios. Comprender los matices de la ciberseguridad y adoptar medidas preventivas son pasos importantes para proteger tanto a las plataformas como a los inversores. Sólo con esfuerzos conjuntos se puede crear un entorno seguro para el comercio y la inversión en criptomonedas, que favorezca el crecimiento de la confianza y el fortalecimiento del mercado.
