Top 5 Crypto Hacks y cómo protegerse

Dora Montaner

Tech

El espacio de las criptomonedas ha experimentado un crecimiento explosivo en los últimos años. Sin embargo, con este rápido crecimiento, el espacio criptográfico también ha tenido su parte justa de hacks altamente publicitados. Los actores maliciosos han logrado hacerse con millones de dólares en sus respectivos atracos. Sin embargo, con cada trampa, hay una lección. Entonces, en este artículo, veamos los cinco hacks de bitcoins más grandes de todos los tiempos, para aprender cómo protegerse. Hemos realizado la selección de los mejores trucos de cifrado en función de las siguientes categorías:

  • La cantidad de dinero robada.
  • El impacto del hack.

Entonces, sin más preámbulos, echemos un vistazo a los 5 principales hacks de criptografía por cantidad de dinero robado y el impacto del hack, así como también cómo debe protegerse.

Top Crypto Hacks # 1: El DAO Hack

Sí, ese meme captura prácticamente lo que sucedió durante el infame pirateo de DAO. Como sabrá, la abreviatura “DAO” significa Organización Autónoma Descentralizada. Los DAO son organizaciones que pueden funcionar por sí mismas y que están libres de control centralizado. La idea principal aquí es crear una organización que pueda funcionar por sí misma.

El contrato DAO del que hablaremos aquí solo se denominará “El DAO”. A finales de 2016, la comunidad de Ethereum estaba animada debido a la formación de The DAO. Después de atraer la friolera de $ 150 millones en fondos, el DAO se convirtió rápidamente en la campaña de financiación colectiva más grande de ese momento.

Entonces, ¿de qué se trataba todo el bombo en ese momento? ¿Qué fue exactamente lo que hizo el DAO?

Piense en lo poderoso que es un fondo de capital riesgo descentralizado. Un fondo que no adolece de errores humanos o que es inmune a la manipulación de los inversores. El DAO buscó:

  • Ponga el debido proceso y la toma de decisiones en manos de un sistema automatizado.
  • Permita que los inversores de todo el mundo envíen dinero y obtengan tokens DAO a cambio.
  • Permita que los poseedores de tokens voten sobre proyectos prometedores que merecían recibir fondos de The DAO.

En general, la DAO tenía como objetivo ofrecer una flexibilidad, control y transparencia total sin precedentes sobre el proceso de capital de riesgo.

¿Entonces qué pasó?

Hubo un error en la superficie de ataque del DAO, que podría causar un ataque de reentrada cuando se activa. Entonces, ¿qué hace exactamente este tipo de ataque?

Para comprender esto, consulte el siguiente contrato hipotético:

El contrato que se muestra arriba cumple dos funciones simples:

  • Le permite almacenar su éter en un contrato y mantiene su equilibrio.
  • Le permite volver a retirar ether a su billetera cuando lo desee.

La sección resaltada en el código anterior es donde nos enfrentamos a una vulnerabilidad importante.

  • En primer lugar, el código verifica si la persona que retira su ether ha recibido sus tokens o no.
  • Si es así, el contrato cambia su saldo a 0.

Entonces, ¿por qué es esto un problema?

Si de alguna manera pudiéramos engañar a este contrato haciéndole creer que nuestro saldo es 0, podemos manipularlos para que constantemente le envíen fondos a su billetera.

Reentrada y DAO

El DAO tenía una función de “DAO infantil” en la que permitía a los participantes ramificarse y crear su propio DAO. Esta función de división se produce mediante los siguientes pasos:

  • Devuelve al participante su éter a cambio de tokens DAO
  • Actualiza el libro mayor y el saldo general del token.

La vulnerabilidad aquí funciona de la siguiente manera:

  • El contrato recupera los tokens DAO y le da al usuario la cantidad apropiada de éter.
  • Antes de que el contrato pueda registrar la transacción, el usuario inicia la reentrada y hace que el código regrese y devuelva algunos tokens de ether más.
  • Como tal, el contrato entra en un ciclo recursivo hasta que se agota.

Esto es exactamente lo que sucedió con el contrato DAO. El pirata informático explotó este mismo error y, posteriormente, extrajo 50 millones de dólares en Ether.

Impacto del hack

Si bien este puede no ser uno de esos trucos de intercambio de cifrado de alto perfil, su impacto sigue siendo bastante extremo. Ethereum se desplomó de $ 20 a $ 13. Para revertir los efectos del hack, la comunidad decidió pasar por una bifurcación. Una bifurcación es un término utilizado para describir una técnica que divide el protocolo de cadena de bloques subyacente en dos cadenas diferentes: la antigua y la nueva. Hay dos tipos de formas en que puede hacer esta bifurcación:

  • Horquilla blanda: la cadena vieja todavía puede comunicarse con la cadena nueva.
  • Bifurcación dura: la cadena vieja ya no puede interactuar con la cadena nueva.

La comunidad inicialmente optó por una bifurcación suave, pero esto provocó varias complicaciones y posibles ataques DDoS (denegación de servicio). Como tal, el único camino que les quedaba era hacer un hard fork, también conocido como crear una cadena completamente nueva. Varios en la comunidad estaban en contra de esto porque veían este método como una “excusa barata”. Sin embargo, el plan se llevó a cabo y esto finalmente dividió a Ethereum en Ethereum (nuevo) y Ethereum Classic (antiguo).

Top Crypto Hacks # 2: Coincheck

Coincheck es un intercambio japonés que se hizo famoso en 2018 cuando fue pirateado por 523 monedas NEM o $ 534 millones. Lon Wong, presidente de la Fundación NEM, describió el hack como “el mayor robo en la historia del mundo”. Durante este ataque, más de 260.000 inversores fueron atacados.

Entonces, ¿cómo sucedió uno de los hacks de intercambio de cifrado de mayor perfil de todos los tiempos? Gran mala gestión.

Coincheck y mala gestión

Las carteras de criptomonedas se clasifican en una de dos categorías; ya sea frío o caliente. Las billeteras frías están aisladas de Internet y, a menudo, se utilizan para almacenar grandes reservas de monedas. Los hot wallets están conectados directamente a Internet y se utilizan para realizar transacciones. Las carteras calientes también resultan extremadamente riesgosas ya que están en línea.

Los intercambios generalmente almacenan la mayor parte de sus criptomonedas en billeteras frías, mientras que mantienen un pequeño porcentaje en billeteras calientes para garantizar la liquidez. Coincheck no hizo nada de esto. Solo tenían una billetera en la que almacenaban todas sus monedas. Esto fue extremadamente poco profesional en lo que, en ese momento, era el intercambio más grande de Japón.

Los piratas informáticos propagaron un virus a través de un correo electrónico que les ayudó a recopilar todas las claves privadas de los usuarios. Después de eso, drenaron $ 533 millones en NEM de las arcas del intercambio.

Efectos del hack

Los efectos del hackeo pasaron de una pérdida monetaria a cambiar el sentimiento de toda una nación. En primer lugar, NEM se redujo en un 20%. Si bien Coincheck inicialmente dijo que no podrían compensar a los usuarios por sus pérdidas, finalmente lograron hacerlo atribuyendo un valor de 88,549 yenes por cada una de las monedas perdidas.

El organismo de control financiero de Japón, la “Agencia de Servicios Financieros”, ordenó a Coincheck que mejorara sus prácticas de seguridad. En una nota más seria, el sentimiento general de Japón hacia las criptomonedas sufrió un gran golpe después del ataque. El presidente de Coincheck, Toshihiko Katsuya, dijo más tarde en una entrevista:

“La mayoría de los medios, especialmente las emisoras de televisión, se mostraron reacios a tener anuncios de criptografía después del hack. Desde el hack de Coincheck, la actividad de los comerciantes japoneses individuales se redujo mucho …”

Con todo, este fue uno de los hacks de intercambio de cifrado más devastadores. Monex Group, una empresa tradicional de servicios financieros, ha tomado el control de Coincheck, que todavía está operativo.

Top Crypto Hacks # 3: Mt GOX

Pasemos de un intercambio mal gestionado a otro. El incidente de Mt Gox fue uno de los eventos más importantes en los primeros días de Bitcoin. Mucho se ha escrito al respecto. Sin embargo, el truco se debe principalmente a una gran mala gestión por parte del CEO de Mt Gox, Mark Karpeles.

La firma se lanzó en julio de 2010 y, a principios de 2014, manejaba más del 70% de todas las transacciones de bitcoins en todo el mundo. Decir que lo estaban haciendo bien es como decir que Michael Jordan estaba bien en el baloncesto. Independientemente, hubo muchos problemas detrás de escena que llevaron a algunas señales de alerta.

¿Qué llevó a uno de los hacks de bitcoins más infames de la historia?

  • Carecía de un software de control de versiones (VCS), que le permite realizar un seguimiento de todos los cambios realizados en la base de código. Un VCS no solo le permite ver cuándo se cambió el código subyacente, sino que también le muestra quién fue exactamente el responsable. Un VCS es fundamental en una empresa en la que varios desarrolladores están trabajando en el mismo proyecto.
  • Mt Gox tampoco tenía una política de prueba legítima. Los clientes, literalmente, estaban tirando los ahorros de toda su vida a un intercambio que se regía por un código no probado.
  • Todos los cambios realizados en el código subyacente debían ser aprobados por el propio Karpeles. Esto creó un cuello de botella innecesario. Fue bastante irónico que una empresa demasiado centralizada dominara la puerta de entrada a bitcoin, una moneda descentralizada.
  • Finalmente, si tuviéramos que destacar el problema principal. monte Gox carecía de un liderazgo y una gestión adecuados. El estado de cosas fue que Andreas Antonopoulos lo calificó como “un riesgo sistémico para bitcoin, una trampa mortal para los comerciantes y un negocio dirigido por los despistados”.

El ataque

El 7 de febrero de 2014 fue un rudo despertar para los usuarios de Mt Gox, ya que el intercambio detuvo repentinamente todos los retiros de Bitcoin. El intercambio fue atacado por un error en el software de Bitcoin llamado “maleabilidad de transacciones”, que permitía a los usuarios manipular la red de bitcoins para duplicar transacciones. monte Gox trabajó desesperadamente con el equipo de desarrollo central de bitcoin para solucionar el problema. Sin embargo, terminaron perdiendo la asombrosa cantidad de 473 millones de dólares.

Impacto

La compañía afirmó que perdió alrededor de 750,000 de las tenencias de Bitcoin de sus clientes y casi 100,000 de sus propias Bitcoins. ¡En ese momento, este total combinado era alrededor del 7% de todo el suministro circulante! La empresa se declaró en quiebra de sus acreedores. Directamente como resultado de este truco, el precio de bitcoin se redujo en un 36%.

Top Crypto Hacks # 4: Bitfinex

A continuación, tenemos uno de los intercambios más grandes del mundo en este momento, Bitfinex con sede en Hong Kong. Bitfinex fue golpeado por 120,000 BTC o $ 72 millones el 2 de agosto de 2016. La razón principal detrás de este hack fue la mala administración de las billeteras multi-sig.

¿Qué es una billetera multi-sig?

Imagina que tú y dos amigos más comparten un cofre del tesoro. La caja está llena de todo el botín que ustedes tres han recuperado a lo largo de los años. Ahora los tres tienen un entendimiento que es algo como esto: siempre que dos de ustedes tres estén de acuerdo, pueden acceder al botín dentro de la caja.

Así es como funcionan las carteras de múltiples firmas (multi-sig). Estas carteras son mucho más convenientes que las carteras simples por las siguientes razones:

Es mucho más seguro.

  • Ayuda a crear un entorno más democrático. Una billetera multi-sig es perfecta para una corporación, ya que todos los fondos no estarán sujetos a los caprichos del único propietario de la billetera.
  • Bitfinex y BitGo
  • BitGo es un servicio de billetera multi-sig de primer nivel que se asoció con Bifinex. La idea era brindar más seguridad a sus billeteras calientes estándar al proporcionar un entorno de múltiples firmas. Las claves se dividieron entre los propietarios para mitigar el riesgo inherente de las carteras activas y proteger a los usuarios de posibles estafas de phishing.

Irónicamente, esta medida de seguridad exacta fue lo que llevó al hack. Bitfinex estaba un poco confiado en el enfoque. Como tal, redujeron su dependencia del almacenamiento en frío y almacenaron el dinero de sus clientes en estas billeteras multi-sig. Sin embargo, al final del día, estas billeteras siguen siendo billeteras calientes, y ahí es donde esto terminó convirtiéndose en un problema importante.

El ataque

Los piratas informáticos atacaron los servidores de Bitfinex y de alguna manera consiguieron que el intercambio firmara los retiros ilegales de bitcoins. En el proceso, de alguna manera también lograron eludir las medidas de seguridad de BitGo y consiguieron que firmaran estas transacciones también. Los investigadores finalmente concluyeron que este sistema estaba roto desde el principio, ya que BitGo estaba programado para hacer lo que Bitfinex les dijera que hicieran con los fondos de un usuario. Entonces, si realmente lo piensa, estas billeteras multi-sig no eran realmente multi-sig, para empezar. Tras el ataque, BitGo declaró públicamente que sus servidores no eran los que fueron tomados por los atacantes.

Consecuencias del ataque

El precio de un BTC cayó casi un 20%. Tras el hackeo, Bitfinex emitió un token BFX para sus clientes, un pagaré por todos los fondos que se les adeuda. En un mes, Bitfinex recompró el 1,1% de los tokens en circulación. Finalmente, el 33 de abril de 2017, Bitfinex dejó de intercambiar sus tokens BFX y comenzó a permitir que sus usuarios los retiraran por el valor total de $ 1 / BFX.

Top Crypto Hacks # 5 – NiceHash

NiceHash es una conocida empresa eslovena que conecta a los vendedores de poder hash con compradores de poder hash a través de un modelo de economía compartida. Fundada por Marko Kobal y Matjaž Škorjanc, la empresa sufrió un hackeo de 60 millones de dólares en diciembre de 2017.

El truco

En lo que ha sido descrito por Kobal como un “ataque increíblemente sofisticado”, se robaron a la compañía 4.736 bitcoins. Parece que los atacantes utilizaron la computadora de un empleado para obtener sus credenciales y lanzar el ataque. La empresa suspendió las operaciones durante 24 horas y descubrió que su sistema de pago estaba totalmente comprometido. Luego pasaron a informar del incidente a las autoridades pertinentes.

Las secuelas

Kobal renunció como CEO el 21 de diciembre de 2017, que fue cuando la compañía también reabrió su mercado para reanudar las operaciones normales. Luego iniciaron un “programa de reembolso” que reembolsó con éxito el 82% de los fondos antiguos para enero de 2020.

Principales hacks de cifrado: conclusión

Nuestro propósito aquí no es evitar que inviertas o creas en las criptomonedas contándote estas historias de miedo. Todos estos trucos de bitcoin nos enseñan varias lecciones valiosas sobre cómo invertir en este espacio. Algunas de las principales conclusiones son:

  • Nunca guarde su dinero en la billetera de un intercambio.
  • Asegúrese siempre de que el proyecto en el que está invirtiendo haya sido probado y auditado minuciosamente.
  • Por último, asegúrese de que el proyecto / intercambio tenga un plan de pago adecuado para compensar a sus usuarios en caso de un ataque.

¿Te gustó lo que leíste aquí? En caso afirmativo, consulte algunos de nuestros cursos de blockchain en Ivan on Tech Academy.

Cómo mantenerse actualizado en cripto: 10 herramientas de investigación esenciales

Introducción a los fondos de cobertura DeFi y el protocolo Melon

CriptoMundo

CriptoMundo.com es un medio digital independiente que difunde noticias y contenido sobre criptomonedas y tendencias emergentes de tecnologías financieras. Ofrece noticias, guías, artículos de opinión y gráficos en tiempo real.

Temas

Acrónimos y Frases

Academia

Análisis fundamental

Análisis técnico

Básicos del CriptoMundo

Esenciales de Inversión

Páginas

Contacto

Criptomonedas

Casas de cambio

FAQ

Monedas

Bitcoin

Ethereum