- En 2022, los hackers maliciosos utilizaron tácticas cada vez más avanzadas para explotar las debilidades de las apps descentralizadas.
- Según los analistas de seguridad, el valor total de los activos perdidos por los cripto hackeos este año alcanzó la cifra récord de 3.000 millones de dólares.
- Aquí están los mayores hackeos de criptomonedas de 2022 – y lo que salió mal antes de cada ataque.
En 2022, los proyectos basados en criptomonedas experimentaron una serie de hackeos y exploits devastadores en lo que se considera el peor año de la historia en lo que respecta a la seguridad de los activos digitales.
En general, la frecuencia de los hackeos de criptomonedas se aceleró rápidamente este año, superando la cifra récord de 3.000 millones de dólares en fondos totales perdidos, un pico desde los 2.000 millones de dólares perdidos por hackeos en 2021, según un informe de Chainalysis.
El año nos mostró cómo los hackers black hat o maliciosos están utilizando tácticas cada vez más avanzadas para explotar las debilidades de las aplicaciones descentralizadas que pueden tener errores, como cualquier otra pieza de software.
Entre los principales robos de criptomonedas de 2022, los incidentes de seguridad relacionados con puentes entre cadenas y protocolos financieros descentralizados destacaron por sufrir daños por valor de cientos de millones de dólares en exploits individuales. Durante estos exploits, los hackers accedieron y robaron criptoactivos sin autorización aprovechando vulnerabilidades en contratos inteligentes.
Este artículo explora los mayores hackeos de criptomonedas de 2022 y los errores que condujeron a cada ataque.
Ronin Network – 625 millones de dólares
El 29 de marzo, Ronin, una sidechain que aloja el juego Axie Infinity de Sky Mavis, fue explotada por 625 millones de dólares en varias criptomonedas, convirtiéndose en el mayor robo de criptomonedas hasta la fecha. Sky Mavis desarrolló Ronin para alojar su popular juego de blockchain Axie Infinity. Pero las cosas empeoraron cuando el equipo no consiguió proteger la red Ronin de los delincuentes, que más tarde fueron identificados como el grupo de piratas informáticos Lazarus de Corea del Norte.
A través de un ataque de phishing por correo electrónico a un antiguo empleado, el grupo de piratas obtuvo acceso a la infraestructura informática de Sky Mavis. Allí, los piratas informáticos localizaron y robaron las claves privadas de los nodos validadores de la cadena de bloques Ronin, que la empresa almacenaba en sus servidores internos. Cuando los hackers tuvieron acceso a las claves de los validadores, tomaron el control de toda la red Ronin y transfirieron más de 173.600 ether (ETH) y 25,5 millones de stablecoin USDC, por un total de más de 625 millones de dólares.
Afortunadamente para los usuarios que sufrieron la sustracción de sus fondos durante este incidente, la mayoría fueron reembolsados en su totalidad, según afirmó la empresa. Una semana después del hackeo, SkyMavis recaudó 150 millones de dólares en una ronda de financiación liderada por Binance y los combinó con sus propios activos para devolver el dinero a todos los afectados por el exploit.
FTX – 370-400 millones de dólares
A diferencia de otros grandes atracos de seguridad durante el año -como los que afectaron a aplicaciones descentralizadas de blockchain que operan con contratos inteligentes-, el ahora colapsado exchange centralizado FTX cayó en uno de los mayores hackeos de 2022. El hackeo de FTX, que tuvo lugar en noviembre, salió a la luz después de que los administradores oficiales de Telegram de la bolsa informaran de un «acceso no autorizado».
Los datos de Onchain mostraron que los monederos del exchange perdieron fondos entre 370 y 400 millones de dólares poco después de que su ex CEO Sam Bankman-Fried se acogiera al Capítulo 11 de protección por bancarrota.
Algunos medios de comunicación confundieron el hackeo con otra transferencia sospechosa de 400 millones de dólares realizada desde FTX por orden de la Comisión de Valores de Bahamas para custodiar los activos, lo que causó confusión. Sin embargo, ambos fueron incidentes separados.
El nuevo jefe de FTX, John J. Ray III, declaró que el hackeo y otra gran transferencia de activos ordenada por los reguladores de Bahamas eran hechos separados. Así lo ha verificado la empresa de análisis Chainalysis, que está trabajando con FTX para localizar los activos.
«Los 400 millones de dólares robados y pirateados a FTX son completamente independientes de los 400 millones de dólares en poder de la Comisión de Valores de Bahamas. Sin embargo, es totalmente comprensible que la gente se sintiera confundida», declaró a The Block un portavoz de Chainalysis.
Aunque la identidad del pirata informático sigue siendo desconocida, Bankman-Fried habló en una entrevista de una persona con información privilegiada, probablemente un «antiguo empleado» o un mal actor, que podría haber robado las claves privadas de las criptowallets de FTX.
Ray también reveló en un documento preparado como testimonio que FTX almacenaba las claves privadas de sus monederos de forma no cifrada y había adoptado controles de seguridad muy deficientes, factores que podrían haber permitido fácilmente que se produjera el hackeo.
Wormhole – 325 millones de dólares
En febrero, Wormhole, un protocolo puente entre cadenas, sufrió el mayor ataque de este año. Wormhole permite a los usuarios bloquear su ETH y recibir un activo vinculado llamado Wormhole ETH (wETH) en la red Solana.
El 2 de febrero, Wormhole cayó en manos de un hacker que falsificó ciertas firmas de seguridad en el puente y acuñó 120.000 wETH por valor de 325 millones de dólares de la nada. El pirata cambió los wETH acuñados ilícitamente por ETH reales en la red Ethereum, vaciando así todos los activos de Wormhole.
El incidente detuvo las operaciones del puente y durante algún tiempo pareció que el fin de Wormhole estaba cerca. Habría sido increíblemente difícil recuperar las pérdidas pero, para sorpresa de todos, pocos días después del hackeo, Wormhole dijo que había repuesto todo el ETH robado y abrió el puente.
Jump Crypto, una empresa de comercio y capital de riesgo que incubó Wormhole, confirmó que repuso los 120.000 ETH robados de sus propios fondos para ayudar a sostener el puente.
Nomad – 190 millones de dólares
El 7 de agosto, Nomad, un puente que conecta las cadenas de bloques Ethereum, Avalanche, Moonbeam y Evmos, sufrió el segundo mayor pirateo de cross-chains del año, con la pérdida de activos por valor de 190 millones de dólares.
El pirateo se debió a una actualización defectuosa en la que los desarrolladores de Nomad designaron erróneamente 0x00 (la dirección cero) como raíz de confianza.
Esta función significaba que cualquiera podía retirar fondos del puente sin pasar por la comprobación del contrato de confianza y burlar fácilmente su seguridad. Cuando el problema de la actualización se hizo público, más de 300 direcciones se apresuraron a hacerse con el dinero de Nomad en un ataque de «todos contra todos». Por suerte, algunas de las direcciones pertenecían a hackers éticos que más tarde devolvieron 22 millones de dólares a Nomad.
Beanstalk Farms – 182 millones de dólares
Beanstalk Farms, un protocolo de stablecoin, fue atacado en abril de 2022 en el mayor hackeo de gobernanza del año.
Un hacker desconocido aprovechó una laguna de seguridad en la organización autónoma descentralizada (DAO) de Beanstalk, que supervisa la toma de decisiones para el proyecto stablecoin. En Beanstalk, cualquiera podía presentar una propuesta y conseguir que se aprobara en un día si recibía la mayoría de votos de los titulares del gobierno nativo de Beanstalk, llamado bean.
Un actor malicioso presentó una propuesta en la que pedía a la comunidad que enviara criptoactivos de la tesorería de Beanstalk a la criptodirección del hacker. Cuando se aprobó la votación, la transferencia se realizó automáticamente.
El atacante tomó un préstamo flash, un préstamo que puede tomarse sin ninguna garantía, si se devuelve dentro de la misma transacción. Con esto, el hacker compró millones de dólares en tokens bean para asegurarse de que tenían suficientes tokens para conseguir la aprobación de la votación.
Con este truco, el hacker fue capaz de canalizar unos 80 millones de dólares en tokens bean de la tesorería del proyecto sin que los desarrolladores del núcleo de Beanstalk lo supieran. Después de esto, el hacker vendió esos tokens bean en la plataforma, la pérdida final terminó siendo significativamente mayor para Beanstalk. La firma de seguridad PeckShield estimó que el incidente costó a Beanstalk 182 millones de dólares en pérdidas de protocolo.
Mango Markets – 114 millones de dólares
Aunque técnicamente no se trata de un pirateo informático, la plataforma de préstamos con sede en Solana sufrió un ataque masivo de manipulación del mercado en octubre.
El atacante, que posteriormente resultó ser Avraham Eisenberg, operador de DeFi, dirigió un equipo que atacó Mango Markets para desviar 114 millones de dólares en depósitos de clientes de la plataforma. Más tarde admitió su participación.
El ataque tuvo dos vertientes. En primer lugar, Eisenberg supuestamente compró decenas de millones de tokens ilíquidos de Mango, que depositó en el protocolo como garantía de préstamo.
En segundo lugar, con unos 5 millones de dólares en la stablecoin USDC, supuestamente hizo subir el precio de los tokens Mango varias veces, aumentando así artificialmente el valor en dólares de sus depósitos de garantía de préstamo en Mango. Esto se pudo hacer ya que los tokens Mango tienen muy poca liquidez en muchas bolsas.
El aumento del valor de mercado de los tokens Mango hizo creer a los oráculos de datos que los activos depositados por Eisenberg valían más de 400 millones de dólares.
Con el valor de la garantía inflado, tomó prestados 114 millones de dólares en criptoactivos con la intención de no devolverlos, lo que le reportó un enorme beneficio. Un día después, obligó al gobierno de Mango a aprobar una votación, acordando devolver 47 millones de dólares como un acuerdo de negociación white hat. Para entonces, se desconocía la identidad del atacante.
Los detectives de la cadena rastrearon el ataque hasta Eisenberg. Éste admitió su participación, pero negó haber hecho nada ilegal, argumentando que estaba «utilizando el protocolo tal y como fue diseñado». Está claro que las autoridades no se creyeron el argumento de «el código es ley» esgrimido por Eisenberg.
En diciembre, el Departamento de Justicia de Estados Unidos detuvo a Eisenberg y lo acusó de delitos relacionados con la manipulación del mercado. El Departamento de Justicia de los Estados Unidos lo arrestó por cargos de fraude y manipulación de materias primas en Puerto Rico.
BNB Token Hub – 120 millones de dólares
El 6 de octubre, una entidad desconocida llevó a cabo un ataque a gran escala contra BNB Token Hub, un servicio puente que funciona entre BNB Chain -una blockchain fundada por Binance- y Ethereum.
Aprovechando un fallo en el sistema de prueba criptográfica del puente, un hacker pudo hacerse con el control de 2 millones de tokens BNB bloqueados en el puente y valorados en 550 millones de dólares en ese momento.
El hacker sólo consiguió transferir entre 120 y 130 millones de dólares de la cadena BNB a otras cadenas antes de que se detuviera la red. En cuanto se detectó el ataque, los validadores de BNB Chain acordaron congelar la red para hacerse cargo de los 430 millones de dólares que el hacker tenía en su dirección. La red estuvo caída varias horas, pero volvió a funcionar un día después.
Horizon – 100 millones de dólares
Otro protocolo que fue víctima de un hackeo masivo fue Horizon, un puente que conecta Ethereum con la blockchain Harmony.
En junio, un atacante robó 100 millones de dólares bloqueados en Horizon tras introducir un par de claves privadas comprometidas, propiedad de la cuenta de un administrador de seguridad que controlaba el puente.
El proceso de transferencia de activos del contrato de despliegue de Horizon a Ethereum implicaba un esquema de firmas múltiples que necesitaba la aprobación de sólo dos de las cinco cuentas de administrador. Esto significaba que un actor malicioso tenía que robar dos claves privadas para aprobar transferencias no autorizadas, que es precisamente lo que ocurrió, como señala la empresa de seguridad Halborn.
Tras obtener acceso a dos de las claves privadas de los administradores del puente, posiblemente mediante ataques de phishing a los administradores, el hacker pudo aprobar una transacción que extrajo 100 millones de dólares a su control.
Qubit – 80 millones de dólares
Qubit, un protocolo de préstamo y puente de la cadena BNB, fue el objetivo del primer hackeo de criptomonedas a gran escala del año en enero.
En Qubit, los usuarios podían depositar ether (ETH) de Ethereum y el puente emitía un activo vinculado «xETH» en BNC Chain. xETH podía utilizarse como garantía en la plataforma de préstamos de Qubit.
El 27 de enero, un hacker explotó una vulnerabilidad lógica de software en Qubit que hizo que xETH estuviera disponible para su uso en BNB Chain sin haber depositado ETH en Ethereum. La naturaleza de la vulnerabilidad era tal que permitía al atacante acuñar una gran cantidad de xETH sin depositar ningún activo real.
Después de que el hacker consiguiera acuñar grandes cantidades de xETH, pidió varios préstamos a Qubit con esos tokens como garantía. Al final, el atacante sustrajo todos los 206.000 BNB apostados en Qubit Finance tomando préstamos en bucle, por valor de unos 80 millones de dólares en ese momento.
