Tips

  • Más de $600 millones de dólares en activos digitales fueron robados de la PolyNetwork.
  • Los expertos en seguridad todavía están tratando de averiguar lo que ocurrió.

Después de más de siete horas de que se informara por primera vez, los detalles sobre un exploit que terminó en el robo $600 millones de dólares en activos digitales de PolyNetwork han tardado en aparecer. A falta de una auditoría exhaustiva, los grupos de ciberseguridad han pronunciado un estribillo común a los programadores que están detrás de la red de compatibilidad entre cadenas: La culpa es de ustedes.

Los fondos vinculados al ataque se han rastreado hasta tres direcciones distintas: una en Ethereum, otra en Binance Smart Chain y otra en Polygon.

En cuanto a la cadena de acontecimientos que llevaron a los fondos malversados hasta allí, los expertos en seguridad tienen opiniones diferentes, y algunos llegan a acusar a sus colegas de engañar al público.

Según un primer análisis de la auditora de seguridad BlockSec, con sede en China, que advirtió que aún no había verificado, el robo podría ser el resultado de "la filtración de la clave privada que se utiliza para firmar el mensaje de la cadena cruzada" o de "un fallo en el proceso de firma de la PolyNetwork que se ha abusado para firmar un mensaje manipulado."

Otros investigadores también insinuaron que las malas prácticas de seguridad podrían haber conducido al robo de las claves privadas utilizadas por el equipo de PolyNetwork para autorizar las transacciones.

El desarrollador de Ethereum e investigador de seguridad Mudit Gupta escribió que PolyNetwork utiliza un wallet multisig para las transacciones. En su configuración, cuatro personas tienen acceso a la clave para firmar las transacciones, y tres deben firmar: "El atacante se hizo con al menos tres guardianes y luego los utilizó para cambiarlos por uno solo". En efecto, el hacker los dejó fuera. (Gupta pensó inicialmente que Poly utilizaba un multisig de 1/1).

El equipo de seguridad de la blockchain, SlowMist, dice que eso no es exactamente lo que ocurrió. En su lugar, dice, el atacante se aprovechó de una falla en una función de contrato inteligente para cambiar su guardián, desviando el flujo de fondos a la propia dirección del atacante. "No es el caso de que este evento haya ocurrido debido a la filtración de la clave privada del custodio", informó.

PolyNetwork retuiteó la entrada del blog, mientras que Gupta se mostró muy en desacuerdo con SlowMist, sugiriendo una gran impotencia o corrupción.

Independientemente de si el atacante obtuvo claves privadas o explotó un contrato inteligente débil, una forma de hacer cualquiera de esas cosas es estar al mando. ¿Pero fue un trabajo interno? Después de todo, según la firma de análisis de blockchain CipherTrace, los llamados tirones de alfombra, un tipo de estafa de salida, fueron la forma más popular de fraude de criptomonedas el año pasado.

Es demasiado pronto para decirlo. SlowMist dice que "ha captado el buzón, la IP y las huellas dactilares del atacante a través del rastreo dentro y fuera de la cadena, y está rastreando posibles pistas de identidad relacionadas con el atacante de Poly Network". Pero su investigación aún no ha llevado a un ejecutivo de Poly a tener una pistola humeante. (O, si lo ha hecho, SlowMist aún no lo dice).

Mientras tanto, no está claro si el atacante podrá utilizar los fondos. PolyNetwork también ha pedido a los "mineros de las blockchain y criptomonedas afectadas que pongan en la lista negra los Token" de las direcciones del explotador. En respuesta, Tether dijo que congeló $33 millones de dólares en USDT relacionados con el ataque, mientras que los ejecutivos de Binance, OKEx y Huobi se comprometieron a ayudar a limitar los daños.

El hacker, sin embargo, se ha dedicado a hacer burlas desde la blockchain de Ethereum, añadiendo mensajes a los bloques. "¿QUÉ PASA SI HAGO UN NUEVO TOKEN Y DEJO QUE EL DAO DECIDA DÓNDE VA EL TOKEN?", escribieron en un mensaje.

Tal vez, pero tal vez alguien más debería escribir los contratos inteligentes para eso.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.