El ladrón de Cripto canaliza $10M ETH robado a Tornado Cash

Acabo de ver un fascinante robo desarrollarse en la blockchain. Un astuto hacker ha movido $10 millones en ETH a Tornado Cash después de llevar a cabo uno de los más ingeniosos fraudes de phishing de 2023. No fue un ataque al azar; específicamente apuntaron a una ballena criptográfica y se llevaron una fortuna.

El 21 de marzo, CertiK detectó 3,700 ETH (alrededor de $10M) siendo movidos al servicio de mezclado. Estos fondos eran parte de un robo mayor de $24 millones ocurrido el septiembre pasado. Lo sorprendente es lo simple pero efectivo que fue el ataque: la ballena cayó en el truco más antiguo del libro: aprobar una transacción maliciosa.

La víctima hizo clic en "Aumentar Permiso" en una transacción, básicamente entregando al atacante las llaves de su reino cripto. Con ese único permiso, el ladrón podía gastar los tokens ERC-20 de la víctima a su antojo. Error clásico, consecuencias catastróficas.

El ataque ocurrió en dos oleadas, primero robando 9,579 stETH, luego regresando para tomar otros 4,851 rETH de la misma víctima. ¡Hablar de agregar insulto a la herida! Según PeckShield, el atacante convirtió todo en 13,785 ETH y 1.64 millones de DAI, distribuyéndolo en varias billeteras.

Honestamente, el estado de la seguridad en este espacio a veces me hace querer arrancarme el cabello. Solo en febrero se perdieron $47 millones debido a estafas de phishing, con un asombroso 78% ocurriendo en Ethereum. ¿Por qué la gente sigue cayendo en estos trucos?

Incluso los proyectos establecidos no son inmunes. Solo mira a Dolomite: su antiguo contrato fue explotado por $1.8M de usuarios que habían otorgado permisos hace años y se habían olvidado de ellos. Estas explotaciones de aprobación se están convirtiendo en una verdadera plaga.

Sin embargo, no todos los ataques tienen éxito. Layerswap logró limitar su daño a "solo" $100K cuando su sitio fue comprometido. Están reembolsando a los usuarios, lo cual es decente de su parte, pero la prevención hubiera sido mejor que la cura.

¿La parte aterradora? Estos ataques siguen volviéndose más sofisticados mientras explotan los mismos errores humanos básicos. Si estás experimentando con cripto, verifica tres veces cada aprobación que otorgues. Esas solicitudes de permiso inocuas podrían ser el equivalente digital de entregarle a alguien tu billetera.

Esta es precisamente la razón por la que la adopción generalizada sigue siendo un desafío: un clic equivocado y tus ahorros de toda la vida desaparecen en Tornado Cash. El lejano oeste de las criptomonedas continúa, y no todos logran salir con su oro.