Un ataque de phishing conduce a una transferencia de USD 10 millones de Ether a Tornado Cash: desenmascarando las amenazas a la seguridad de las criptomonedas
Summary:
Este artículo analiza la transferencia de USD 10 millones en Ether (ETH) vinculada a un ataque de phishing de septiembre de 2023 al protocolo de mezcla de criptomonedas, Tornado Cash. Los expertos en seguridad de blockchain han rastreado el movimiento de fondos de un hackeo de USD 24 millones que involucró a una ballena criptográfica. El escenario revivió las discusiones sobre el posible uso indebido de los contratos inteligentes y las aprobaciones de tokens por parte de los piratas informáticos. El artículo también analiza cómo el phishing continúa plagando a la comunidad de criptomonedas con millones perdidos por tales estafas, principalmente en la red Ethereum y que involucran tokens ERC-20.
En octubre de 2023, un ataque de phishing se conectó a una cuenta en particular, que ahora ha movido USD 10 millones de Ether (ETH) al protocolo de mezcla de criptomonedas conocido como Tornado Cash. Según lo informado por Etherscan, el hacker transfirió los fondos a Tornado Cash. La agencia de seguridad blockchain CertiK informó el 21 de marzo que una cuenta vinculada a un hackeo de USD 24 millones envió 3,700 ETH a Tornado Cash. Un destacado poseedor de criptoactivos fue víctima de una operación de phishing el 6 de septiembre de 2023, perdiendo 24 millones de dólares en ETH apostados en Rocket Pool, un proveedor de staking líquido. El acto engañoso se dividió en dos transacciones; En la primera se tomaron 9.579 stETH y en la segunda se desviaron 4.851 rETH. Scam Sniffer, un proyecto que aborda las estafas, reveló que la víctima firmó una transacción de "Aumento de asignación", proporcionando al hacker permisos simbólicos. En el contexto de los contratos inteligentes, esta característica permite a terceros sancionados gastar tokens ERC-20 que pertenecen a otros. Este elemento de autorización de tokens se ha discutido ampliamente en la esfera criptográfica, enfatizando el posible uso indebido por parte de los desarrolladores a través de contratos inteligentes maliciosos. La firma de seguridad blockchain PeckShield identificó que el atacante intercambió los activos por 13,785 ETH y 1.64 millones de Dai (DAI). Algunos de los DAI se trasladaron al exchange FixedFload, mientras que la mayoría de los fondos robados se colocaron en otras billeteras. Las incursiones de phishing persisten como un problema importante en la esfera de las criptomonedas. Según el informe de phishing de criptomonedas de Scam Sniffer, en febrero se perdieron 47 millones de dólares en este tipo de estafas. El informe ilustró que el 78% de los robos ocurrieron en la red Ethereum y el 86% de los activos robados eran tokens ERC-20. El respaldo de los tokens ha instigado pérdidas recientes entre los poseedores de criptomonedas. El 20 de marzo, un contrato obsoleto, una vez utilizado por el exchange Dolomite, fue explotado para extraer USD 1.8 millones de sus usuarios. Esta brecha afectó a los usuarios que habían autorizado las aprobaciones del contrato, lo que llevó al equipo de desarrollo de Dolomite a recomendar a los usuarios que cancelaran los gestos de aprobación previa a la dirección del contrato anterior. Aunque algunos ataques resultan en pérdidas multimillonarias, algunos intentos de robo de criptomonedas se interceptan rápidamente. Por ejemplo, el 20 de marzo, el grupo Layerswap evitó más daños después de una violación del sitio web mediante la intervención oportuna de su proveedor de dominios. A pesar de esta rápida acción, los piratas informáticos lograron extraer aproximadamente USD 100,000 en activos de 50 usuarios. Layerswap se comprometió a reembolsar a los usuarios afectados y a extender una compensación adicional por sus molestias.
Published At
3/21/2024 4:41:56 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.