Hemos visto muchos trucos de criptomonedas de alto perfil en los últimos años. En esta guía, vamos a hablar sobre, en nuestra opinión, los cinco hacks más importantes que sacudieron el mundo de las criptomonedas hasta su esencia. La intención no es asustarlo, sino educarlo y hacerle comprender por qué ocurrieron estos ataques. Si está interesado en aprender más sobre cómo funcionan las criptomonedas en detalle, eche un vistazo a nuestros cursos dedicados de blockchain.
5 Hacks de criptomonedas de alto perfil
El truco del monte Gox
Es el año 2013 y Max Karpeles está en la cima del mundo.
Su empresa con sede en Japón, Mt. Gox (Magic The Gathering Online Exchange) fue, con mucho, el mayor intercambio de bitcoins del mundo. Era el intermediario de bitcoins más grande del mundo que manejaba el 70% de los intercambios de bitcoins del mundo. Las cosas se veían bien para Karpeles y estaba trabajando en muchos conceptos interesantes como el Bitcoin Café. Sin embargo, surgieron grietas debajo de la superficie.
Los problemas con el monte Gox
Hubo muchos problemas con Mt Gox incluso antes de que ocurriera el hack de 2014 y todo eso se remonta a una gestión altamente incompetente. En muchos sentidos, fue un desastre a punto de ocurrir. Un desarrollador de software con sede en Tokio, que había visitado la empresa en busca de oportunidades de empleo, quedó consternado por lo que vio.
Problema n. ° 1: falta de un VCS
En primer lugar, faltaba un software de control de versiones (VCS). Un VCS es imprescindible en cualquier empresa de desarrollo de software por diversas razones.
- Un VCS le permite realizar un seguimiento de todos los cambios realizados en la base de código. El uso de VCS no solo ayuda a ver con precisión en qué momento se cambió el código, sino que también les ayuda a saber quién lo hizo. También permite deshacer el cambio y volver a la versión anterior.
- Otra gran cualidad de VCS es que ayuda a muchas personas a codificar juntas al mismo tiempo sin temor a que un programador se superponga con el código de otro. Esto podría haber sido realmente útil en una empresa como Mt. Gox, que tiene varios programadores trabajando en el mismo código al mismo tiempo.
Problema n. ° 2: falta de una política de prueba
El desarrollador de software también se encontró con otra noticia muy alarmante. Hasta hace poco, Mt. Gox no tenía una política de pruebas. Piense en eso por un momento. ¡La plataforma de intercambio de bitcoins más grande del mundo no tenía una política de prueba! ¡Literalmente estaban arrojando un código no probado a sus clientes! Y se pone aún peor.
Problema n. ° 3: problema de cuello de botella
Resulta que Mt. Gox tenía un problema de cuello de botella. Todos los cambios en el código debían ser aprobados por el propio director general. Karpeles fue el fin de todo y será todo el sistema. Eso es simplemente una mala gestión (más sobre esto más adelante). El CEO de la empresa nunca debería ser un cuello de botella de todo el proceso de codificación, pero eso es exactamente lo que sucedió.
Problema n. ° 4: falta de una gestión adecuada
Si tuviéramos que suponer todos los problemas, todo se reduce a una cosa. Manejo altamente incompetente e infantil. Andreas Antonopoulos, en un informe muy mordaz, dijo lo siguiente:
“Magic The Gathering Online Exchange es un riesgo sistémico para bitcoin, una trampa mortal para los comerciantes y un negocio dirigido por los despistados”.
Esas son algunas palabras muy duras, pero hay mucha verdad en esa declaración. Es que Karpeles era más un programador idealista que un hombre de negocios. Si bien sabía programar, nunca podría tener la perspicacia necesaria para dirigir una empresa. Y, desafortunadamente, debido a esto, se avecinaba un gran desastre. Pero no es que nadie no lo viera venir.
El hack de 2011: una señal de lo que vendrá
El 19 de junio de 2011 sucedió algo extraño. ¡El valor de bitcoin en Mt. Gox cayó hasta un centavo!
¿Ves esa imagen de arriba?
Ese es un gráfico de todas las transacciones de Bitcoin realizadas en Mt.Gox Bitcoin Exchange el 19 de junio de 2011, que muestra la caída de precios. El tamaño de la parcela circular denota el tamaño de una transacción.
Entonces, ¿qué sucedió exactamente y por qué bajó el precio?
El atacante pirateó la computadora de un auditor de Mt. Gox y la usó para transferir una gran cantidad de bitcoins a sí mismos. Usaron el software del intercambio para vender todos estos bitcoins y esto creó una gran tensión en el sistema como resultado de lo cual el valor de los bitcoins en el sistema cayó drásticamente.
A pesar de que el precio se reajustó en unos minutos, ya se había hecho mucho daño. Las cuentas con el equivalente a más de $ 8,750,000 se vieron afectadas. Si bien Mt. Gox se las arregló para regresar de este desastre, nada pudo salvarlos de la catástrofe que estaba por venir.
El hack de 2014: el robo de 473 millones de dólares
Al entrar en 2014, los usuarios de Mt. Gox se quejaban de las largas demoras en el servicio. De hecho, las cosas se pusieron tan mal que el sistema bancario de EE. UU. De hecho congeló el monte Gox debido a los problemas regulatorios. El 7 de febrero de 2014, la empresa detuvo todos los retiros de bitcoins para analizar los procesos técnicos de la empresa y ver por qué estaban ocurriendo los retrasos.
Lanzaron la siguiente declaración:
Durante su verificación, se dieron cuenta de que habían sido sometidos a un ataque de maleabilidad de transacción.
¿Qué es la maleabilidad de las transacciones?
Antes de que entendamos eso, echemos un vistazo a cómo se ve un código de transacción simple en bitcoin.
Así es como se ve la transacción en forma de código. Supongamos que Alice quiere enviar 0.0015 BTC a Bob y, para hacerlo, envía entradas que valen 0.0015770 BTC. Así es como se ve el detalle de la transacción:
Lo primero que ves:
Es el nombre de la transacción, también conocido como el hash del valor de entrada y salida.
Vin_sz es el número de datos de entrada, ya que Alice está enviando los datos usando solo una de sus transacciones anteriores, es 1.
Vout_sz es 2 porque las únicas salidas son Bob y el cambio que Alice recibirá.
Estos son los datos de entrada:
Alice solo está usando una transacción de entrada, esta es la razón por la que vin_sz era 1.
Debajo de los datos de entrada están los datos de su firma (es importante recordarlos a medida que avanzamos).
Debajo de todo esto están los datos de salida:
La primera parte de los datos significa que Bob está obteniendo 0.0015 BTC.
La segunda parte significa que 0.00005120 BTC es lo que Alice está recibiendo como cambio.
Ahora, ¿recuerdas que nuestros datos de entrada fueron 0.0015770 BTC? Esto es mayor que (0,0015 + 0,00005120). El déficit de estos dos valores es la tarifa de transacción que cobran los mineros.
Entonces, esta es la anatomía de una transacción simple.
Ahora hay una cosa más que necesita saber antes de que entendamos qué puede hacer la maleabilidad de las transacciones. La cadena de bloques fue creada para ser completamente inmutable, lo que logra a través de funciones de hash criptográficas. Lo que esto significa esencialmente es que una vez que los datos se han colocado dentro de la cadena de bloques, no se pueden alterar. Solo esta calidad por sí sola brinda a las criptomonedas basadas en blockchain una inmensa seguridad.
Sin embargo, hay una laguna
¿Qué pasa si la manipulación de datos ocurre antes de poner los datos en la cadena de bloques? Incluso si se nota la manipulación, nadie puede hacer nada al respecto una vez que entra en la cadena de bloques.
Esto se denomina maleabilidad transaccional.
Entonces, ¿cómo se pueden alterar los datos?
¿Recuerda que le dijimos que tuviera en cuenta los datos de la firma durante la entrada?
Resulta que la firma que acompaña a los datos de entrada puede manipularse, lo que a su vez puede cambiar el ID de la transacción. De hecho, puede parecer que la transacción ni siquiera sucedió en primer lugar. Veamos esto en un ejemplo.
Supongamos que Bob quiere que Alice le envíe 3 BTC. Alice inicia una transacción de 3 BTC a la dirección pública de Bob y luego la envía a los mineros para su aprobación. Mientras la transacción está esperando en la cola, Bob usa la maleabilidad de la transacción para alterar la firma de Alice y cambiar el ID de la transacción.
Ahora existe la posibilidad de que esta transacción manipulada se apruebe antes de que se apruebe la de Alice, lo que a su vez sobrescribe la transacción de Alice. Cuando Bob obtiene sus 3 BTC, simplemente puede decirle a Alice que no recibió los 3 BTC que ella le debía. Alice verá que su transacción no se realizó y la reenviará. Como resultado, Bob terminará con 6 BTC en lugar de 3 BTC.
Y eso es exactamente lo que se dice que sucedió durante el hackeo de Mt. Gox. Debido a una mala gestión extrema y a la falta de un plan de contingencia, se robaron del sistema alrededor de $ 473 millones en bitcoins, que era alrededor del 7% del suministro mundial de bitcoins.
Las secuelas
El momento del ataque de Mt. Gox fue muy desafortunado. Esto fue en el momento en que Bitcoin se estaba volviendo poco común. Se temía que el ataque de Mt. Gox pudiera hacer retroceder la fe en el sistema por al menos 4-5 años. Las señales inmediatas también fueron inquietantes. El valor de BTC cayó drásticamente como es evidente en el siguiente gráfico:
Mt. Gox se declaró en quiebra y más tarde se descubrió que el dinero robado estaba siendo lavado a través de otro intercambio llamado BTC-e. El propietario de BTC-e, Alexander Vinnik, fue arrestado en Grecia. Está siendo acusado de lavar el dinero que obtuvo a través de Mt. Gox a través de BTC-e y Tradehill, otro intercambio que le pertenece. El tribunal griego ha aprobado su extradición a Estados Unidos, donde enfrenta hasta 55 años de prisión si es acusado.
Afortunadamente, Bitcoin ha superado este incidente y ha ido creciendo cada vez más desde entonces.
El truco de DAO
Entonces, pasando del ataque más grande que sacudió a Bitcoin, al ataque más grande que Ethereum ha enfrentado hasta la fecha. ¡El ataque y sus secuelas fueron tan graves que los desarrolladores se vieron obligados a crear una moneda completamente nueva para hacer frente a las repercusiones! Entonces, antes de que entendamos qué fue el ataque DAO, vamos a darnos una pequeña lección de historia.
Todo el ecosistema de Ethereum funciona sobre la base de contratos inteligentes. Para los no iniciados, los contratos inteligentes son básicamente la forma en que se hacen las cosas en el ecosistema Ethereum. Para decirlo en términos simples, los contratos inteligentes son contratos automatizados que hacen cumplir y facilitan los términos del contrato en sí.
El DAO, también conocido como la Organización Autónoma Descentralizada, era un contrato inteligente complejo que iba a revolucionar Ethereum para siempre. Básicamente, iba a ser un fondo de capital de riesgo descentralizado que iba a financiar todos los DAPPS futuros realizados en el ecosistema.
La forma en que funcionó fue bastante sencilla. Si quisiera tener algo que decir en la dirección de DAPPS que se financiaría, entonces tendría que comprar “Tokens DAO” por una cierta cantidad de Ether. Los tokens DAO eran indicadores de que ahora forma parte oficialmente del sistema DAO.
Entonces, ¿cómo se iba a aprobar y construir DAPPS? Bueno, en primer lugar, deben ser incluidos en la lista blanca por los curadores, que básicamente han conocido figuras decorativas en el mundo Ethereum. Después de obtener su sello de aprobación, los titulares de tokens DAO votarán por ellos. Si la propuesta obtiene una aprobación del 20% en la votación, obtendrán los fondos necesarios para comenzar.
El potencial del DAO y la flexibilidad, el control y la transparencia total que ofrecía no tenían precedentes, la gente se apresuró a obtener su parte del pastel. Dentro de los 28 días de su formación, acumuló más de $ 150 millones en éter en una venta colectiva. En ese momento, tenía el 14% de todos los tokens de éter emitidos hasta la fecha.
Puede que se pregunte, todo está bien, pero ¿cómo sale uno del DAO? ¿Qué pasa si se aprueba algún DAPP del que no eres un gran admirador, cómo puedes optar por no participar en el DAO entonces? Para habilitar esto, se creó una puerta de salida llamada “Función Split”. Con esta función, recuperaría el éter que ha invertido y, si así lo desea, incluso podría crear su propio “DAO infantil”. De hecho, puede separarse de varios titulares de tokens DAO y crear su propio DAO Child y comenzar a aceptar propuestas.
Sin embargo, había una condición en el contrato: después de separarse del DAO, tendría que conservar su éter durante 28 días antes de poder gastarlos. Así que todo se ve bonito y elegante por ahora… excepto que había un pequeño problema. Mucha gente vio esta posible laguna y la señaló. Los creadores de DAO aseguraron que esto no sería un gran problema. Lo único es que fue y eso creó toda la tormenta que dividió a Ethereum en Ethereum y Ethereum Classic.
El ataque DAO
El 17 de junio de 2016, alguien aprovechó esta laguna jurídica en la DAO y desvió un tercio de los fondos de la DAO. Eso es alrededor de $ 50 millones de dólares. La laguna jurídica que descubrieron los piratas informáticos fue bastante sencilla en retrospectiva.
- Si uno desea salir del DAO, puede hacerlo enviando una solicitud. La función de división seguirá los siguientes dos pasos:
- Devuelva al usuario su Ether a cambio de sus tokens DAO.
Registre la transacción en el libro mayor y actualice el saldo interno del token.
Lo que hizo el hacker fue crear una función recursiva en la solicitud, así es como fue la función de división:
- Toma los tokens DAO del usuario y dales el Ether solicitado.
- Antes de que pudieran registrar la transacción, la función recursiva hizo que el código regresara y transfiriera aún más Ether para los mismos tokens DAO.
Esto siguió y siguió hasta que se sacaron $ 50 millones en Ether y se almacenaron en un DAO infantil y, como era de esperar, el pandemonio atravesó toda la comunidad Ethereum.
Nota: Antes de continuar con el artículo, aclaremos una distinción. El hackeo ocurrió debido a un problema en el DAO, no a ningún problema en el propio Ethereum. Ethereum se ejecuta en segundo plano mientras DAO se ejecuta en él.
Como dice Gavin Wood, el cofundador de Ethereum, culpar a Ethereum por el hack de DAO es como decir “Internet está roto” cada vez que un sitio web deja de funcionar.
Las secuelas
La comunidad de Ethereum se reunió y decidió que una bifurcación suave era la mejor manera de seguir adelante. Un tenedor suave no solo es compatible con versiones anteriores, sino que habría hecho desaparecer el “Ataque de Dao”. Sin embargo, durante la implementación, los desarrolladores se dieron cuenta de que un soft-fork daría lugar a muchos ataques DDOS (Denial of Service). La única otra opción era bifurcar la cadena y esto dividió a la comunidad. Esta “división” resultó en dos Ethereums diferentes. El Ethereum Classic (ETC) original y la nueva moneda post hard fork Ethereum (ETH).
El truco de Bitfinex
El segundo más grande en la historia de bitcoin lo sufrió la plataforma de intercambio de criptomonedas con sede en Hong Kong, Bitfinex. Se robaron 120,000 BTC que valían $ 72 millones en ese entonces. Bitfinex anunció el hack el 2 de agosto de 2016. Antes de que entendamos cómo y por qué ocurrió el hack, primero debemos actualizar algunos conceptos.
¿Qué es una billetera multi-sig?
Imagen cortesía: Coin Hako blog
La forma más fácil de entender cómo funciona una billetera de múltiples firmas (multi-sig) es pensar en una caja fuerte que necesita múltiples claves para operar. Una billetera con múltiples firmas es ideal para 2 propósitos:
- Para crear más seguridad para su billetera y evitar errores humanos.
- Crear una billetera más democrática que pueda ser utilizada por una o más personas.
¿Cómo la billetera de múltiples firmas lo salva de un error humano? Tomemos el ejemplo de BitGo, uno de los principales proveedores de servicios de billetera multi-sig del mundo. Emiten 3 claves privadas. Uno está en manos de la propia empresa, otro en manos del usuario y el tercero es una copia de seguridad que el usuario puede guardar para sí mismo o entregar a alguien de confianza para su custodia.Para realizar cualquier tipo de transacción en una billetera BitGo, necesitará al menos 2/3 teclas para operar. Entonces, incluso si tiene un pirata informático detrás de usted, será muy difícil para ellos tener en sus manos 2 claves privadas. Y además de eso, incluso si pierde su clave privada por cualquier motivo, todavía tiene esa clave de respaldo que le había dado a su amigo.
Ahora bien, ¿cómo una billetera con múltiples firmas crea un entorno más democrático? Imagina que estás trabajando en una empresa con 10 personas y necesitas 8 aprobaciones para realizar una transacción. Con un software como Electrum, simplemente puede crear una billetera multi-sig personalizada con 10 llaves. De esta manera, puede realizar transacciones democráticas sin problemas en su empresa.
Incluso con todas sus características sorprendentes, al final del día, una billetera de múltiples firmas sigue siendo una billetera caliente, por lo que debe usarla de manera económica. El hack de Bitfinex (más sobre esto en un momento) ocurrió a pesar del hecho de que tenía seguridad de múltiples firmas. Además, al final del día, la empresa cuya billetera está utilizando todavía tiene una de las claves privadas. Depende completamente de su ética en cuanto a lo que pueden hacer o no hacer con sus fondos.
¿Cómo sucedió el hackeo?
La fuente del problema fue la necesidad de Bitfinex de encontrar un sistema que brindara a sus usuarios mejores opciones de seguridad y liquidez. La mayoría de los intercambios son simples billeteras “calientes”, lo que significa que siempre son vulnerables a ser pirateadas. Bitfinex se asoció con BitGo en 2015 y creó un sistema mediante el cual se proporcionarían a cada cliente carteras de múltiples firmas, aquellas en las que las claves se dividen entre varios propietarios para gestionar el riesgo.
Bitfinex declaró lo siguiente:
“La era de mezclar bitcoins de los clientes y todas las exposiciones de seguridad asociadas ha terminado”.
Sin embargo, por irónico que parezca, esta “medida de seguridad” fue lo que llevó al hack. Como se mencionó anteriormente, una billetera de múltiples firmas tiene claves divididas entre varios propietarios para administrar el riesgo. Para que una transacción se lleve a cabo, todas las partes deben firmarla. En el caso de Bitfinex, ellos almacenarían 2 claves, mientras que BitGo almacenaría una.
Entonces, se supone que BitGo actúa como una seguridad adicional y verifica la validez de las transacciones que salen de Bitfinex. Debido a esta capa adicional de seguridad, Bitfinex redujo el uso de carteras de almacenamiento en frío y almacenó el dinero de sus clientes en carteras activas de múltiples firmas. La idea era aumentar la facilidad de liquidez sin comprometer la seguridad. Sin embargo, cuando los piratas informáticos atacaron los servidores de Bitfinex, lograron no solo que Bitfinex firmara los retiros ilegales de bitcoins, sino que a veces eludieron las medidas de seguridad de BitGo y consiguieron que también firmaran los retiros.
Hay muchas teorías sobre por qué sucedió exactamente eso. Teorías que van de la conspiración a la delirante ridículo. Sin embargo, la teoría más creíble es que la configuración del sistema Bitfinex se rompió de tal manera que BitGo haría lo que Bitfinex dijera que hiciera con los fondos de un usuario. Básicamente, las carteras multi-sig no eran realmente multi-sig, solo había un punto de falla y eran los servidores de Bitfinex. Se le da más peso a esa teoría cuando se tiene en cuenta que BitGo ha declarado públicamente que sus servidores no fueron los que se vieron comprometidos.
Las secuelas
El precio de Bitcoin se desplomó y cayó casi un 20%. Un BTC bajó a $ 480 antes de que lograra recuperarse.
Si bien Bitfinex recibió un golpe, la forma en que se redimieron es ciertamente encomiable.
Primero emitieron un token BFX a todos sus clientes, que era básicamente un pagaré por todos los fondos que poseían. Sin embargo, comenzaron a circular rumores de que esto era solo una estafa de Bitfinex para ganar más tiempo y pagar la deuda. El 1 de septiembre, con el fin de disipar los temores y dudas de la comunidad de Bitcoin, recompraron el primer 1,1% de los tokens en circulación.
Pero ese no fue el final de sus esfuerzos. Bitfinex agregó más pares de operaciones, permitió retiros más rápidos y creó una mesa de operaciones OTC para operaciones más grandes y, finalmente, el negocio se recuperó lo suficiente como para permitirles salir de la deuda más rápido.
Cortesía de imagen: Bitcoin.com
El 3 de abril de 2017, Bitfinex detuvo todo el comercio de sus tokens BFX y comenzó a permitir que los usuarios los retiraran por su valor total de $ 1 por token BFX.
La siguiente tabla muestra el “Historial de canje de tokens BFX” completo:
Los fondos congelados de Parity Multi-Sig
Si bien técnicamente no es un truco malicioso, lo que ha sucedido recientemente (al momento de escribir), con las billeteras multi-sig de paridad merece una mención. Antes de continuar, un gran saludo a SpringRole por todos los datos. Entonces, ¿con qué frecuencia ha sucedido que accidentalmente congeló hasta $ 150 millones? Eso es exactamente lo que le sucedió al usuario “devops199” cuando accidentalmente mató el contrato: 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4.
Poco sabía él que acababa de abrir la Caja de Pandora.
El 20 de julio, se inició una nueva versión del contrato de billetera de Parity debido a un incumplimiento que ocurrió antes de eso. Desafortunadamente, hubo una gran falla en este nuevo código. Resulta que era posible convertir el contrato de la biblioteca Parity Wallet en una billetera multi-sig regular y convertirse en propietario de la misma llamando a la función initWallet.
Así es como se ve el fragmento de código vulnerable.
Parity empleó el desarrollo de contratos inteligentes impulsados por bibliotecas para sus billeteras multi-sig. Es decir, todas las carteras multi-sig hicieron referencia a este contrato de biblioteca única para toda su funcionalidad. En esencia, todas las billeteras Partiy Mulit-Sig tenían un solo punto de falla y esa dirección estaba en el código de solidez de la biblioteca de billeteras:
constante _walletLibrary = 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4
Según el usuario de Reddit, el irónicamente llamado “ItsAConspiracy”, la razón por la que se hizo este diseño fue para ahorrar en el costo de la gasolina. En lugar de copiar y pegar el mismo código en todas y cada una de las carteras multi-sig únicas, comenzaron a usar una biblioteca que actúa como un “espacio común” para que todas estas carteras deleguen también ciertas llamadas a funciones.
Entonces, básicamente, en lugar de tener el mismo código repetido de forma redundante en cada billetera, había un lugar común donde cada billetera puede hacer una llamada para realizar algunas funcionalidades. Esto se hizo para ahorrar gas y espacio de almacenamiento.
Sin embargo, hubo una falla fatal, ya que el usuario la aprovechó sin saberlo.
Básicamente, el usuario pudo inicializar la biblioteca como una billetera, reclamando los derechos de propietario, incluido el derecho a eliminarla por completo.
Cada contrato de solidez tiene una función de “matar”. Aquí hay una función de eliminación de muestra para darle una idea:
La función de matar existe para finalizar el contrato y entregar los tokens que quedan al creador del contrato.
Básicamente termina un contrato.
Entonces, cuando el usuario eliminó la billetera, básicamente eliminó la biblioteca y todas las funciones lógicas asociadas con ella. Eso significa que todas las billeteras que estaban vinculadas a la biblioteca se han vuelto inútiles y se han congelado ~ $ 150 millones.
Las secuelas
Esto es lo que Parity tenía que decir sobre todo el fiasco:
Al momento de escribir, los fondos aún están bloqueados.
Dado que Ethereum es inmutable, esta acción no se puede deshacer. La única forma de recuperar los fondos es mediante una bifurcación.
La comunidad de Ethereum es extremadamente divisiva sobre esto, muchas encuestas de Twitter muestran casi 50-50 apoyo y disensión por la “solución hardfork”. Aquí hay un ejemplo de una encuesta de este tipo:
A partir de ahora, Ether por valor de 150 millones de dólares está flotando sin nadie que lo reclame.
Bono: NiceHash Hack
El 6 de diciembre de 2017 a las 00:18 GMT, la empresa minera con sede en Eslovenia NiceHash fue pirateada por 4700 BTC, que son ~ $ 80 millones.
Marko Kobal, director ejecutivo de NiceHash, apareció en Facebook Live para abordar las preocupaciones sobre el ataque. No reveló mucho, aparte de decir que la computadora de un empleado se vio comprometida durante el ataque que llevó al atraco.
Los atacantes básicamente utilizaron las credenciales del empleado para obtener acceso al sistema NiceHash. Esto es lo que Kobal tenía que decir:
“Dada la complejidad y seguridad de los sistemas instalados, esto parece un ataque increíblemente coordinado y altamente sofisticado”.
NiceHash suspendió las operaciones durante 24 horas para hacer un chequeo y análisis exhaustivos del hack.
Esto es lo que dijo la compañía en su comunicado de prensa:
“Es importante destacar que nuestro sistema de pago se vio comprometido y el contenido de la billetera NiceHash Bitcoin ha sido robado. Estamos trabajando para verificar el número exacto de BTC tomados. Claramente, este es un tema de profunda preocupación y estamos trabajando arduamente para rectificar el asunto en los próximos días. Además de llevar a cabo nuestra propia investigación, se ha informado del incidente a las autoridades pertinentes y a las fuerzas del orden y estamos cooperando con ellos con carácter de urgencia “.
Conclusión de los trucos de criptomonedas
Así que ahí lo tienes. Los cuatro hacks de cifrado más importantes (en nuestra opinión) que han ocurrido en los últimos años. Mientras que uno era asombroso debido a la magnitud del robo (Mt Gox) y la mala gestión completamente ridícula que lo causó, el otro (DAO) fue tan severo que creó una nueva moneda para compensar el daño causado. Y, por supuesto, tenemos la catástrofe accidental del fiasco de paridad multi-sig.
Sin embargo, el ataque de Bitfinex muestra que no importa lo que se lance al mundo criptográfico, siempre encontrarán una manera de luchar y recuperarse.
Ese, en esencia, es el propósito de este artículo. Para informarle sobre los ataques y mostrarle que, pase lo que pase, este loco y asombroso mundo de las criptomonedas siempre se recupera y vuelve más fuerte. Al igual que con cualquier sistema monetario, existen fallas y todo el equipo de desarrolladores debe centrarse en las pruebas de seguridad continuas con auditorías y pruebas de penetración. Sin embargo, no se puede negar la pura voluntad de sobrevivir y prosperar, como es muy evidente cuando se mira el mundo de las criptomonedas.