:format(webp)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/I3MAQ7DKDFCMFBAVM2NYZCXMKQ.jpg)
Según se informa, ha habido un error desagradable entre los poseedores de Cripto OG, que afecta notablemente a una de las partes más críticas de la infraestructura Web3: la billetera MetaMask. Desde diciembre, se han robado más de 5.000 ether ( ETH ) por valor de unos 10,5 millones de dólares a veteranos de las Cripto utilizando una variedad de carteras sin custodia, informó el sitio de noticias criptoescéptico Protos , citando una investigación informal realizada por el fundador de MyCrypto , Taylor Monahan .
Parece que los desarrolladores de ConsenSys , la empresa privada de software blockchain que creó gran parte de las herramientas de código abierto de Ethereum, incluida la billetera MetaMask y el kit de herramientas de la aplicación Infura, están investigando el exploit, que parece estar dirigido "deliberadamente" a personas que deberían conocer los detalles. y salidas de la autocustodia y seguridad de las Cripto .
Este artículo está extraído de The Node, el resumen diario de CoinDesk de las historias más importantes sobre blockchain y Cripto . Puede suscribirse para recibir el boletín completo aquí .
“Este NO es un sitio de phishing de poca categoría ni un estafador aleatorio. NO ha rechazado a ningún novato. SÓLO rechaza a los OG”, escribió Monahan, que se hace llamar “Tay” en Twitter. El ataque es generalizado y afecta a claves creadas entre 2014 y 2022 y al menos a 11 blockchains, según la investigación preliminar de Tay. La investigación en cadena de Monahan ha descubierto que la vulnerabilidad inexplicable puede afectar a "todas las billeteras", incluidas, entre otras, MetaMask.
Menciono este exploit para no sembrar miedo, incertidumbre y dudas, especialmente sobre el portal Web3 más utilizado . A partir de ahora, parece que los usuarios promedio u ocasionales de MetaMask, o los usuarios de Cripto en general, no están siendo el objetivo. Pero es un momento para recordar algunas de las mejores prácticas de billetera y hacer un balance de sus tenencias. Debido a la naturaleza de gran alcance del ataque y al pedigrí de las víctimas, las consecuencias podrían ser graves.
Lo más importante ahora no es sólo hacer que los usuarios cotidianos de Cripto se sientan seguros y protegidos, sino garantizar que realmente lo estén. En un correo electrónico, un representante de ConsenSys confirmó que el ataque parece estar dirigido a los primeros usuarios de ETH o a personas que trabajan en la industria, o al menos son lo suficientemente activas como para ser llamadas "Cripto nativas". Además, el representante enfatizó que el ataque se extiende mucho más allá de MetaMask, y que el "comportamiento en cadena del hacker sugiere en gran medida un compromiso de clave privada".
"Lo que las investigaciones actuales están mostrando es que parece que este vector de ataque específico apunta a que las frases Secret de recuperación de estos usuarios se vean comprometidas en algún momento, probablemente debido al almacenamiento inseguro involuntario de dicha frase", dijo el equipo de seguridad de MetaMask.
Los atacantes desconocidos
Como se mencionó, aún se desconoce mucho sobre el ataque y los atacantes. No está claro si se trata de un esfuerzo coordinado de varios hackers expertos o de un solo actor, o si varios individuos encontraron y están explotando las mismas vulnerabilidades. Dicho esto, el hecho de que la mayoría de los ataques hayan tenido lugar entre las 10:00 y las 13:00 UTC, según Monahan, sugiere que puede ser una sola entidad la que recibió información altamente comprometedora.
En su artículo, Monahan dijo que el perpetrador pudo haber recibido un caché de datos que le ayuda a obtener acceso a las claves privadas de los usuarios o a las frases de recuperación de la billetera. Añadió enfáticamente que el problema no está relacionado con la criptografía subyacente de MetaMask y no es una estafa de ingeniería social, como ocurre con el phishing.
Sin embargo, hay algunos puntos en común con el exploit: la mayoría de los ataques ocurrieron durante el fin de semana y el explotador intercambió activos dentro de la billetera de la víctima por ether (a menudo sin pasar por posiciones apostadas , tokens no fungibles y monedas menos conocidas), consolidando ese ETH. y luego transferirlo. A menudo, el atacante ha retrocedido horas, días o semanas después de un ataque inicial para barrer los fondos restantes, dijo Monahan.
El "movimiento en cadena de robo y post-robo es MUY distinto", dijo Monahan, con la esperanza de abrir las puertas para identificar al atacante y recuperar activos. Añadió que hasta el momento varios intentos de “recuperación” han tenido éxito.
ConsenSys confirmó el ataque por correo electrónico y dijo que anima a las personas a ponerse en contacto con su equipo de soporte "sobre cualquier caso específico". La empresa adquirió MyCrypto, la startup de Monahan, en febrero de 2022, después de haber implementado la “lista de bloqueo de estafas” de MyCrypto (también conocida como CryptoScamDB), que se utilizó para proteger a los usuarios de MetaMask de visitar URL fraudulentas conocidas en 2017, según un anuncio en ese momento.
Tanto Monahan como ConsenSys también están enfatizando la importancia de la colaboración mutua en este momento y el intercambio de información y recursos . Desafortunadamente, la comunidad Cripto tiene la fea costumbre de que las víctimas culpen a las personas pirateadas. "Deja de avergonzar a la gente. No son estúpidos", escribió Monahan, señalando que si te piratean, compartir detalles públicamente puede ayudar a la mente colmena Web3 distribuida a encontrar una solución.
"Web3 pertenece a todos y todos deberíamos intentar KEEP seguros unos a otros", dijo el REP de ConsenSys.
Mejores prácticas
En cuanto a las mejores prácticas, Monahan escribió en mayúsculas: "POR FAVOR, NO KEEP TODOS SUS ACTIVOS EN UNA SOLA CLAVE O FRASE Secret DURANTE AÑOS". Si esto es útil sólo en retrospectiva, también advierte a los usuarios que dividan sus activos, utilicen una billetera de hardware y migren sus fondos de cuentas conectadas a Internet. Además, MetaMask compartió esta lista con viñetas:
- Nunca almacene su clave privada o frase de recuperación Secret en ningún lugar en línea, escríbala siempre en algún lugar y KEEP segura
- Obtenga y use una billetera de hardware, pero al igual que con MetaMask, no almacene su clave privada o frase de recuperación Secret en ningún lugar en línea (o, de manera realista, en ningún dispositivo con acceso a Internet).
- Si alguna vez llega al punto en que su billetera es tan antigua que no puede recordar si ha sido 100% diligente con sus claves en todo momento, entonces considere crear una nueva billetera (lo que significa una nueva frase Secret de recuperación, no una nueva cuenta) y migrar sus fondos allí
- Realice controles y auditorías de seguridad periódicas para asegurarse de estar al día con las mejores prácticas de seguridad y, tal como [Monahan] mencionó, considere dividir sus activos en múltiples frases de recuperación y usar billeteras de hardware.
A medida que se revela la naturaleza del exploit, es probable que esta historia se haga más grande. Aparentemente, muchos usuarios de Cripto desde hace mucho tiempo se han visto afectados durante un período de meses sin que se filtre mucha información al resto del mundo. Mientras las Cripto sigan teniendo valor, los usuarios de billeteras seguirán enfrentándose a este tipo de amenazas. El año pasado se robó una cifra récord de 3.800 millones de dólares en Cripto mediante estafas, hackeos y robos, según la última contabilidad de Chainalysis .
CoinDesk publicó recientemente una lista de "Proyectos a seguir", es decir, protocolos y empresas que nos sentimos relativamente bien recomendando a los usuarios. Escribí sobre la cada vez más popular billetera Rainbow , que se está difundiendo principalmente de boca en boca, en parte debido a su sencilla interfaz y sus funciones de seguridad integradas.
Rainbow, como muchas billeteras Cripto , ha implementado una serie de funciones de seguridad para ayudar a proteger las billeteras, incluidos mensajes emergentes que advierten a los usuarios sobre direcciones sospechosas con las que pueden estar interactuando, así como herramientas de ID para evitar que las personas envíen activos a direcciones incorrectas o direcciones muertas. Las características de seguridad básicas como esta deberían ser la norma en todas las Cripto (para ser claros, MetaMask se encuentra entre las billeteras con protecciones similares).
Pero también parece que los usuarios de Cripto y los actores maliciosos estarán constantemente jugando al gato y al ratón. Con cada avance tecnológico lanzado para proteger a los desinformados, es probable que exista una solución. Y si Monahan tiene razón, ni siquiera años de experiencia práctica garantizan que estará seguro. Hay mejores prácticas a Síguenos y trampas que evitar, pero en este punto, la estafa es claramente endémica de las Cripto.
¿Dónde deja eso a Web3? No es que los bancos o las aplicaciones fintech sean inmunes a los hackeos o estafadores, pero los usuarios deberían poder confiar incluso en las tecnologías "no confiables".
ACTUALIZACIÓN (18 de abril de 2023 – 23:30 UTC): agrega comentarios de ConsenSys en todo momento y una oración que enfatiza que todas las billeteras, no solo MetaMask, son vulnerables.
