Tips

  • Un usuario de Reddit perdió 1.200 dólares en Ethereum después de dejar accidentalmente su frase semilla en un repositorio de GitHub.
  • Los datos fueron inmediatamente escaneados por robots maliciosos que monitorean los commits de código.
  • Los hackers tardaron menos de dos minutos en desviar los fondos.

Un hacker robó 1.200 dólares de Ethereum de un usuario, luego de que este dejara accidentalmente la frase de recuperación de su wallet de Ethereum en un repositorio de GitHub, un área de almacenamiento de archivos en línea. Aunque esta es, o al menos debería ser, una situación poco común, resultó que los hackers ya habían preparado bots maliciosos, ya que los fondos del usuario desaparecieron en menos de dos minutos.

"Un hacker cogió mi código mnemotécnico y robó 1.200 dólares en Ethereum de mi wallet de Metamask en menos de 100 segundos. Los hackers estaban usando un bot para buscar las frases mnemotécnicas en GitHub, y yo accidentalmente lo dejé en mi código en un repositorio de GitHub mientras enviaba a un hackathon de Hack Money", escribió hoy el Redditor.

El usuario todavía tiene más de 600 dólares de fichas ERC-20 bloqueadas en el protocolo Compound DeFi pero no puede retirarlas. Imagen: Etherscan

Las frases mnemotécnicas (o de semillas) son combinaciones de 12 palabras puestas en un orden específico, que permiten restablecer el acceso a una wallet de criptomonedas. Esencialmente, son "la última línea de defensa" junto a las llaves privadas (la contraseña que te permite gastar monedas). Si alguien se hace con una, puede tener acceso completo a tu wallet y a los fondos que se guardan en ella.

En resumen, no deberías subir tus llaves privadas o tu frase semilla a repositorios públicos de código abierto como GitHub, ni a ningún otro sitio que sea público.

El usuario señaló que todavía tiene casi 700 dólares de fichas ERC-20 bloqueadas en el protocolo DeFi Compound (cETH), que se utiliza para prestar criptomonedas a otras personas. Pero si retira el dinero, se envíará a la wallet donde el robot está desviando cada mínima parte de ETH. No puede ganar.

En Ethereum, se necesita una token (llamado Gas) para pagar las comisiones de transacción necesarias para transferir sus fichas. Si dos personas intentan mover la misma cantidad de Ethereum al mismo tiempo, es probable que se procese la que tenga las tasas más altas. Pero el robot está enviando automáticamente transacciones con tasas más altas, ganando la carrera cada vez.

"Aunque quedan algunas monedas y fichas, el bot desviará cualquier cantidad de Ethereum que tenga para impedir que mueva mis monedas, y/o superará mis intentos suministrando más gas", explicó el usuario.

Otro hacker de Ethereum hizo lo mismo para secuestrar gatitos

Un caso similar fue reportado el pasado septiembre cuando unos hackers comprometieron una billetera que contenía un número de raros CryptoKitties —técnicamente tokens no fungibles corriendo en Ethereum— cada uno representando un "gato" digital único.

Los hackers comprometieron una cartera que contenía varios CryptoKitties raros. Imagen: Jordan Spence

Después de que un bot malicioso se conectó a la wallet, empezó a desviar todos los ETH entrantes, convirtiendo efectivamente el atraco en una situación de rehenes, ya que no había una forma convencional de liberar los tokens debido a la falta de fondos necesarios para pagar el Gas. Aunque, al final, los propietarios consiguieron liberar a sus pobres gatitos.

Si bien algunos podrían culpar de esas situaciones exclusivamente a la falta de ingenio personal en materia de ciberseguridad, los usuarios individuales no son ni mucho menos los únicos que cometen esos errores. Como informó Decrypt el 19 de mayo, un grupo de hackers descubrió recientemente que dos plataformas de intercambios de criptomonedas expusieron accidentalmente las llaves privadas de miles de usuarios, con un total de más de 18 millones de dólares.

Es hora de empezar ser mas cuidadosos con esas llaves privadas.