Este fin de semana, se realizaron dos ciberataques en dos diferentes criptoexchanges, «uno descentralizado (DEX) y otro centralizado (CEX)», que dejaron pérdidas por 16,6 millones de dólares.
El primero, fue realizado en la plataforma DEX SushiSwap el pasado sábado, donde se logró sustraer aproximadamente unos 3,3 millones de dólares en Ethereum, mientras el segundo fue realizado este domingo en el criptoexchange surcoreano GDAC, dejando una pérdida de 13,3 millones de dólares en diversos criptoactivos.
En el ciberataque a la plataforma SushiSwap, se introdujo un fallo días antes de que fuese explotado el sábado por la noche, donde finalmente se obtuvieron los fondos de la cuenta de uno sólo de los usuarios que habitualmente utilizan esa DEX.
It seems the @SushiSwap RouterProcessor2 contact has an approve-related bug, which leads to the loss of >$3.3M loss (about 1800 eth) from @0xSifu.
— PeckShield Inc. (@peckshield) April 9, 2023
If you have approved https://t.co/E1YvC6VZsP, please *REVOKE* ASAP!
One example hack tx: https://t.co/ldg0ww3hAN pic.twitter.com/OauLbIgE0Q
De acuerdo, con la empresa de seguridad y análisis de datos blockchain PeckShield, los ciberdelincuentes atacaron específicamente una cartera controlada por la víctima «que pertenece a un prominente miembro de la comunidad Crypto Twitter conocido como Sifu», de acuerdo a lo explicado en un tuit por la empresa.
El análisis realizado por PeckShield, determinó que la cartera de Sifu, fue objeto de un “fallo relacionado con la aprobación” en el contrato RouterProcessor2 de SushiSwap, lo que derivó en la aprobación de una sustracción de alrededor de 1.800 ETH, equivalentes a 3,3 millones de dólares.
If you need a quick Revoke source:https://t.co/ySLmnCDgsQ
— Jared Grey (@jaredgrey) April 9, 2023
Tras lo explicado por la empresa PeckShield, una hora después el propio Jared Gray, “chef principal” de SushiSwap, confirmó vía Twitter el análisis del error y el exploit usado, que afectó el desempeño de este criptoexchange descentralizado.
Además Gray, señaló que era oportuno seguir la recomendación de la empresa PeckShield, que invitó a que los usuarios que han interactuado con la cadena de bloques SushiSwap revoquen todos los permisos otorgados a sus contratos.
If you are a user and you have been affected, please check for the output address your funds have gone to. Our whitehat rescue address is 0x74Ebb8e8d0B0cc65F06040EB0f77B5DA0e33fFeE and if you see this as the output address then your funds are currently safe.
— I'm Software 🦇🔊 (@MatthewLilley) April 9, 2023
Posteriormente, Matthew Lilley, CTO de SushiSwap, realizó una serie de tuits el domingo por la mañana, en la que agregó nuevos detalles. “Actualmente estamos trabajando para identificar todas las direcciones afectadas por el exploit RouterProcessor2”, dijo Lilley en su tuit.
“Hemos iniciado varias recuperaciones y seguimos monitorizando y rescatando fondos a medida que están disponibles”, agregó el CTO del DEX SushiSwap. “No hay riesgo en este momento al usar Sushi Protocol y la interfaz de usuario”.
“Toda la exposición a RouterProcessor2 se ha eliminado del front-end y todas las actividades de intercambio y provisión de liquidez actuales son seguras”, puntualizó el CTO de la plataforma descentralizada SushiSwap.
Mientras tanto, en el segundo ciberataque realizado este fin de semana, los ciberdelincuentes atacaron al criptoexchange surcoreano GDAC, para sustraer aproximadamente más de 13,3 millones de dólares en diversas criptomonedas, el pasado domingo 9 de abril.
De acuerdo al recuento que realizó el criptoexchange GDAC en su comunicado de prensa oficial, los activos robados incluyen 60.8 bitcoin (BTC), 350.5 ethereum (ETH), 10 millones de tokens wemix (WEMIX) y 220,000 en la stablecoin vinculada al dólar tether (USDT).
El comunicado también señaló que “Alrededor de las 7 a.m. del domingo 9 de abril de 2023, se produjo un hackeo en GDAC Hot Wallet y la siguiente cantidad de activos se transfirió a una billetera no identificada. Esto es aproximadamente el 23% del total de activos bajo custodia de GDAC en la actualidad”.
En este ciberataque, se vulneró directamente la cartera caliente de GDAC (GDAC Hotwallet), debido a que posee conexión constante a Internet, la cual es empleada para almacenar una parte de los fondos que estarán disponibles para retiros.
“Tan pronto como esto se confirmó a través del sistema de monitoreo, se convocó al equipo de respuesta de emergencia y se inició la respuesta”, indica el comunicado. “GDAC considera la protección de los inversores como la máxima prioridad y responde de la siguiente manera para proteger los activos de sus miembros”.
“El sistema de billetera (sistema de depósito y retiro) y los servidores relacionados fueron suspendidos y bloqueados. Reportamos este hecho a la policía y solicitamos una investigación cibernética. Informamos el hecho a la Agencia de Seguridad e Internet de Corea (KISA) y solicitamos soporte técnico (contable de negocios)”.
Además, el comunicado añade: “La UIF ha sido notificada de esto. Estamos solicitando la cooperación de emisores de activos (fundaciones), intercambios y administradores de DeFi para congelar activos. Actualmente, estamos trabajando con varias organizaciones para hacer nuestro mejor esfuerzo”.
El criptoexchange surcoreano GDAC, ha pedido a los “encargados de los intercambios que manejan activos virtuales que bloqueen de inmediato el depósito desde la dirección donde se realizó el retiro” y que además “lo informen de inmediato a través del «Informe de accidente» cuando tenga conocimiento del depósito”.
El propio CEO de GDAC, Han Seunghwan, señaló que el criptoexchange no sabe cuándo se reanudarán los retiros. “Les pedimos que comprendan que es difícil confirmar el punto de reanudación de los depósitos y retiros, puesto que la investigación está actualmente en curso”.
No cabe duda que los ciberataques a los criptoexchanges (DEX y CEX), están cobrando nuevamente vigor. El año pasado, los ciberataques contra este tipo de organizaciones basadas en criptomonedas aumentaron significativamente y los ciberdelincuentes norcoreanos fueron en su mayoría los responsables.
De hecho, la firma de análisis de blockchain Chainalysis, reveló en febrero en un informe que la cifra alcanzada por este tipo de cibercrimen relacionados con grupos norcoreanos, alcanzó los 3.8 mil millones de dólares en activos robados.
Aunque no se sabe con certeza quienes podrían ser los responsables de estos dos nuevos casos de ciberataques, es probable que los grupos de ciberdelincuentes norcoreanos estén relacionados con los mismos. De cualquier forma, las autoridades investigarán y se esclarecerán los hechos.