La arquitectura distribuida de la tecnología Blockchain es uno de los recursos más fuertes para las criptomonedas como una forma segura de dinero. Desde la creación de Bitcoin en 2008, la tecnología Blockchain ha ganado una reputación creíble por ser una red segura que es extremadamente difícil de infiltrar.
Una red descentralizada es mucho menos propensa a los ataques de seguridad en comparación con una estructura centralizada tradicional, ya que esta última es vulnerable a un solo punto de ataque.
Es mucho más fácil piratear una única base de datos en comparación con una red distribuida formada por muchas bases de datos.
Sin embargo, a pesar de la fuerza de seguridad de la tecnología de la cadena de bloques, se han producido varios ‘trucos’ dentro de la industria de las criptomonedas.
Estos ciberataques no están enfocados hacia la cadena de bloques en sí, sino hacia las diversas instituciones y entidades dentro del ecosistema, como los intercambios de criptomonedas y las wallets digitales. Estos objetivos son mucho más fáciles de hackear en comparación con la propia cadena de bloques, y los perpetradores pueden escapar con una tremenda cantidad de monedas y tokens por valor de millones.
De hecho, los hackers robaron $927 millones de varios intercambios de criptomonedas y otras plataformas en 2018, según un informe reciente de la firma de seguridad blockchain, CipherTrace.
Según este informe, existen 5 criptos en lo más alto del escalón que vale la pena mencionar en cuanto a su hackeo perpetuado en el 2018.
1- IOTA
La modalidad de hackeo fue Phishing Attack. Se robaron 4 millones de dólares en tokens IOTA de las wallets de los usuarios después de que generaran semillas (seeds) en un sitio web fraudulento de suplantación de identidad llamado Iotaseed.io (no desaparecido aún).
Los titulares de IOTA fueron atrapados como una rata en una trampa en este esquema de phishing ya que se anunciaba en la parte superior de la búsqueda de Google como un generador de seeds oficial de IOTA.
El phishisg es un intento fraudulento de robar información confidencial del usuario, como detalles de tarjetas de crédito, nombres de usuario / contraseñas e información personal, al disfrazarse como un sitio web confiable.
Los visitantes que crearon su wallet IOTA en Iotaseed.io proporcionaron sin saberlo, a los piratas informáticos sus claves privadas para su billetera, comprometiendo de esta manera sus fondos.
2- NEM
El 26 de enero, los hackers comprometieron las cuentas de usuario de Coincheck, un intercambio de criptomonedas con sede en Japón. Se robaron 560 millones de tokens NEM por un valor de $530 millones en ese momento, lo que convirtió al exchange en el hackeo más grande en la industria, superando incluso al de Mt. Gox.
Tras una investigación adicional, se descubrió que el intercambio de Coincheck sufrió un lapso de seguridad que permitió el hackeo. Aparentemente, uno de los sistemas informáticos internos de Coincheck estaba infectado con malware que provocó una violación de datos.
El virus permitió que los atacantes recolectaran muchas claves privadas un par de semanas antes del hackeo. Los piratas informáticos se escaparon con éxito con las monedas robadas con facilidad, ya que Coincheck mantuvo sus activos en wallets calientes, que son más vulnerables a los hackeos que las wallets frías debido a su conexión a redes externas.
Afortunadamente los desarrolladores de NEM respondieron al ataque rápidamente y devolvieron a las víctimas casi todos los fondos robados.
3- PoWH Coin
El esquema piramidal de Proof of Weak Hands (PoWH) Coin, se promocionó como un esquema ponzi legítimo y autónomo que recompensó a los primeros usuarios con el 10% de los dividendos.
A pesar de varias advertencias hacia este tipo de esquemas, muchos inversionistas todavía participaron y el valor de PoWH Coin creció rápidamente a más de dos millones de dólares en un corto período de tiempo.
La idea detrás de PoWH era simple: un esquema de pirámide de parodia diseñado para ser los más transparente posible. Usando los contratos inteligentes de Ethereum, los tokens de PoWH aumentarían en un valor de 0.25% cada vez que se compre una unidad y disminuirán el mismo porcentaje cuando se venda una unidad.
Esto fue similar a un juego en el que aquellos con una “mano de hierro” (alguién que podría soportar la volatilidad del mercado para no vender sus monedas) serían recompensados. Muchos invirtieron en este proyecto como una broma para hacer dinero rápido.
Sin embargo, el 28 de enero, un hacker blanco logró drenar las wallets de los usuarios mediante la explotación de una vulnerabilidad de cadena de bloques común, un flujo de entero sin signo. Esencialmente, los contratos inteligentes subyacentes de PoWH se piratearon tres días después de que la ICO se hiciera pública. Un total de 866 ETH por valor de más de $950 mil dólares fue robado.
4- Verge
El hackeo de la red Verge fue un hack prominente que fue diseñado para generar un exceso de monedas Verge (XVG) de manera fraudulenta, en lugar de robarlas a los usuarios.
Desde el 4 de abril hasta el 22 de mayo, los atacantes explotaron varias vulnerabilidades de seguridad de la cadena de bloques, como la manipulación de la dificultad de la blockchain, las marcas de tiempo falsas y el dominio del hash de la red. Estas acciones permitieron a los ciberdelicuentes extraer (crear) nuevas monedas a una tasa más alta, con un valor acumulado de monedas falsificadas que valían más de $1 millón de dólares.
Los hackers lograron dominar la red de Verge tres veces por intervalos de varias horas seguidas y deshabilitaron los pagos de otros participantes. Durante estos intervalos, extrajeron nuevas criptomonedas a una velocidad de 1,560 XVG por segundo.
Además, los atacantes redujeron la dificultad de minería de la blockchain utilizando marcas de tiempo falsas y, posteriormente, abusaron de un solo algoritmo para generar nuevos bloques más rápidos.
Para mitigar el ataque, los desarrolladores de Verge establecieron límites en bloques consecutivos creados con un algoritmo. Sin embargo, los piratas informáticos repitieron exitosamente su acción explotando dos algoritmos a la vez.
La solución final de los desarrolladores de la blockchain fue reducir la ventana de creación de bloques a 10 minutos (similar a Bitcoin) , por lo que hizo imposible el fraude de marca de tiempo.
5- Bancor Exchange
El 9 de julio, los ciberdelicuentes piratearon el intercambio de Bancor y se enriquecieron con $23.5 millones de tokens nativos de la plataforma. Los hackers desconocidos comprometieron una wallet que fue creada para actualizar ciertos contratos inteligentes.
Al poseer credenciales de esta cartera, los atacantes robaron $23.5 millones en criptomoneda, de los cuales $10 millones estaban en la moneda nativa de Bancor, el token BNT.
Aún queda el misterio de cómo los atacantes obtuvieron las credenciales de una de las cuentas claves de Bancor. Una de las principales teorías es que hubo una violación de datos en una de las computadoras del desarrollador de Bancor iniciada internamente o mediante acceso a través de intentos de phishing. Después de acceder a la cuenta, los pirata informáticos invocaron la función de retiro y transfirieron los fondos a su cuenta.
Los desarrolladores de la bolsa lograron congelar $10 millones en BNT, mientras que el resto de las monedas robadas fueron denominadas en otras criptomonedas.
Bancor también transfirió la propiedad del contrato inteligente de la cuenta comprometida a otras cuentas. Para evitar futuros ataques, los desarrolladores de Bancor introdujeron una confirmación de firma múltiple en sus contratos inteligentes, requiriendo al menos dos cuentas de confianza para confirmar y verificar cada transacción.
