Por Ryan S. Gladwin
5 min lectura
Otro día, otro ataque de phishing en criptomonedas.
La cuenta oficial de Twitter de la popular colección de NFT de Ethereum Gutter Cat Gang —y la cuenta de su cofundador— fue hackeada, lo que resultó en la pérdida de al menos $750.000. Otras estimaciones
Otros han sugerido que se perdieron hasta $900.000 debido a la explotación. Al menos una de las billeteras del atacante ha vendido desde entonces los activos robados por $640.000, según lo verificado por AegisWeb3.
La amplia gama de estimaciones se debe probablemente a la amplia variedad de NFTs capturados y sus diferentes precios mínimos.
Dicho de otra manera, al menos 87 NFTs fueron robados de 16 usuarios, con una dirección perdiendo 36 NFTs, incluyendo un Bored Ape que se vendió por $125.000 en septiembre de 2021.
El hacker tuiteó el viernes, promocionando un "aire airdrop" de GutterMelo, una colección legítima de Gutter Cat Gang lanzada a finales del mes pasado. El hacker publicó un enlace de phishing a un airdrop falso que vació las billeteras que se conectaron al sitio.
"La mayoría de las veces [con un ataque como este], la víctima interactúa con un contrato malicioso al que la víctima le da permiso para gastar los tokens en nombre del usuario. Así es como funciona 'transferFrom()'", dijo Adrian Hetman, líder técnico de Immunefi, a Decrypt. "A partir de ahí, el hacker que controla el contrato básicamente puede transferir los NFT del usuario como quiera".
Dos días después, la cuenta de Twitter de Gutter Cat Gang publicó una reseña de la situación, expresando remordimiento, que están trabajando con las autoridades y que están tomando medidas para evitar que vuelva a ocurrir un ataque.
Los fanáticos del proyecto quedaron decepcionados al no ver ninguna mención de una posible compensación para las víctimas.
Decrypt se ha puesto en contacto con el equipo de Gutter Cat Gang, pero no han respondido en el momento de la publicación.
A pesar del hackeo, Gutter Cat Gang afirma haber estado utilizando "autenticación de múltiples factores y medidas de seguridad".
No está claro qué autenticación de múltiples factores y medidas de seguridad estaba utilizando el equipo. Twitter ofrece tres opciones de autenticación de múltiples factores: autenticación basada en aplicaciones, SMS o una clave dedicada.
"La opción más segura, con mucho, es la autenticación basada en aplicaciones utilizando algo como Authy, Microsoft Authenticator o Google Authenticator", dijo el experto en ciberseguridad, James Bore, a Decrypt. "El código de autenticación nunca se transmite a través de ninguna red, por lo que no hay oportunidad de que alguien lo intercepte".
"Una llave de seguridad USB dedicada es una opción más segura que una aplicación de teléfono, pero a menudo menos popular debido al gasto adicional, la incomodidad y al hecho de que es más probable que pierdas u olvides una llave de hardware que tu teléfono", agregó Bore.
Sin embargo, el investigador de criptomonedas ZachXBT afirma que el equipo utilizó la autenticación por SMS, añadiendo que "es una negligencia grave haber utilizado SMS [autenticación de dos factores] en tus redes sociales después de todos los recientes intercambios de SIM".
"Un ataque de intercambio de SIM es cuando un estafador se apodera del número de teléfono de la víctima convenciendo a su proveedor de telefonía de que el teléfono se ha perdido y que el número debe ser transferido a una nueva SIM", dijo Andrew Whaley, director técnico senior de la empresa de seguridad en redes sociales Promon. "La nueva SIM, por supuesto, es del estafador, y una vez transferida, tienen acceso a las llamadas telefónicas y los mensajes de SMS. En este caso, Twitter permite restablecer las contraseñas enviando un código de un solo uso al teléfono del usuario. Así que el estafador utilizó esto, después del intercambio de SIM, para tomar el control de la cuenta de Twitter."
Los ataques de intercambio de SIM han sido frecuentes en el mundo de las criptomonedas últimamente, con ZachXBT afirmando que ha habido "más de 30 intercambios de SIM relacionados con criptomonedas en las últimas semanas".
"Esto ilustra por qué los mensajes de texto no son una forma especialmente segura de autenticación de dos factores (2FA)", dijo Whaley. "Los ataques de intercambio de SIM varían según el país y el proveedor de telefonía móvil en cuanto a lo fácil que es llevarlos a cabo. En algunos países, son tan fáciles como presionar '1' en el teclado del teléfono".
Los hackeos han planteado preguntas sobre cómo los proyectos de criptomonedas están asegurando sus cuentas en redes sociales.
Bore recomienda usar una "contraseña larga y única" mientras se utiliza una llave de hardware para la autenticación de segundo factor.
Los usuarios también deben activar la protección de restablecimiento de contraseña, que requiere tanto su correo electrónico como su número de teléfono antes de que alguien pueda intentar restablecer la contraseña de una cuenta.
Como capa final de protección, Bore recomienda tener un número de teléfono que solo se utilice para seguridad, lo que significa que nunca se debe proporcionar el número a personas para contactar.
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.