Con el rebote de casos de exploits relacionados con las criptomonedas, parece que las plataformas pueden hacer más para aumentar la confianza de los inversores.
A medida que la incertidumbre regulatoria continúa plagando el ecosistema global de activos digitales, hay muchos defensores anti-cripto que continúan lamentando el hecho de que el sector en su conjunto tiene un largo camino por recorrer cuando se trata de protegerse a sí mismo. De una manera que es omnipresente. en comparación con el sistema financiero tradicional. Ahora, con el reciente hackeo de Bitmart saliendo a la luz, estas personas han ganado aún más potencia de fuego.
En resumen, el 5 de diciembre, Bitmart era una criptomoneda en el extremo receptor de un gran hackeo que hizo que la plataforma perdiera casi $ 200 millones a través de un compromiso de la billetera caliente alojada en las cadenas de bloques Ethereum y Binance Smart Chain. La brecha fue expuesta por primera vez por la compañía de seguridad blockchain Peckshield, cuyo equipo de ciberseguridad reveló que terceros maliciosos podrían transferir inicialmente alrededor de $ 100 millones a través de la cadena de bloques Ethereum, seguido de otro pirateo simultáneo de $ 96 millones. utilizando Reservas BSC de intercambio de criptomonedas.
Los piratas informáticos pudieron recolectar más de 20 tokens, incluidas varias monedas alternativas como Binance Coin (BNB), SafeMoon (SAFEMOON), BSC-USD y BNBBPay (BPay). También pudieron robar una cantidad decente de tokens de memes, incluidos Baby Doge Coin (BabyDoge), Floki Inu (FLOKI) y Moonshot (MOONSHOT). Según el equipo de seguridad de PeckShield, podría ser todo el esquema encargado a una simple maniobra de «transferencia, cambio y lavado».
Bitmart responde
Para tener una mejor idea de cómo sucedió todo el incidente, CryptoTech salió a Bitmart. Un portavoz de la plataforma comercial señaló que tan pronto como se descubrió la infracción, la compañía tomó medidas para cerrar varios sistemas para «limitar cualquier tipo de daño directo»; las acciones incluían detener los retiros de tokens y evitar que los usuarios trataran con ciertos pares. . El representante agregó:
«Planeamos continuar con la recuperación gradual de los servicios, pero solo seguimos el proceso de prueba en profundidad de nuestro equipo de seguridad. La seguridad sigue siendo nuestra prioridad número 1. De hecho, a partir del martes 7 de diciembre de 2021, EST, tenemos ETH y El token ERC20 se deposita y se escapa nuevamente.
Además, una respuesta escrita del intercambio también indicó que Bitmart, para fortalecer su propia infraestructura de seguridad, había reemplazado todas sus direcciones de depósito de tokens en relación con monedas como Bitcoin (BTC), Ether (ETH) y Solana (SOL). , así como todos los demás tokens involucrados en el momento del incidente. «También hemos informado a nuestros usuarios de los cambios relevantes», concluyó el comunicado.
Finalmente, el 6 de diciembre, Sheldon Xia, fundador y director ejecutivo de BitMart, Anunciado a través de Twitter que xchange utilizaría sus propios fondos para compensar las pérdidas incurridas como resultado del incidente: «También estamos hablando con varios equipos de proyecto para confirmar las soluciones más rentables, como los intercambios de tokens. dañado. «
La comunidad criptográfica muestra solidaridad
Después del hack de casi $ 200 millones, los miembros de la comunidad global de Shiba Inu (SHIB) y el intercambio de criptografía Huobi Global se unieron para brindarle a Bitmart cualquier tipo de asistencia que necesite el intercambio, no solo para fortalecer la configuración de seguridad, sino también para Mantenga un registro adecuado de las entradas de sus activos extraviados.
En declaraciones a CryptoTech, el director de estrategia global de Huobi, Jeff Mei, señaló que en casos como el que se vio en relación con Bitmart, es imprescindible que la transparencia y la acción directa tengan la máxima prioridad, y agregó:
«Los intercambios deben alertar a sus usuarios, otros intercambios y las autoridades policiales lo antes posible y ser transparentes sobre lo que están haciendo para lidiar con el pirateo y la pérdida de fondos de los usuarios».
Además, enfatiza que los usuarios deben evitar acumular todos sus activos en una plataforma o billetera, y en los casos en los que sientan que algo sospechoso puede estar sucediendo, los usuarios no deben dudar en comunicarse con el intercambio relevante e informarles sobre el posible incidente de seguridad. .
Al igual que Huobi, la comunidad Shiba Inu también reafirmó sus intenciones de ayudar a Bitmart, y agregó que ya había levantado sus esfuerzos para abordar todas las posibles amenazas a la seguridad de ShibaSwap, un intercambio descentralizado construido por la comunidad (DEX).
Se necesita más educación
Raimundo Castilla, CEO de la plataforma de custodia de activos digitales Prosegur Crypto, dijo a CryptoTech que lo que le sucedió a Bitmart con su reciente violación de seguridad fue algo que era fácil de prevenir solo si los usuarios de la plataforma estaban lo suficientemente capacitados para mantener sus activos digitales externos y no en el intercambio. sí mismo:
«Los monederos calientes deben reservarse solo para los fondos con los que desea operar. Esta cantidad de dinero debe guardarse en almacenamiento en frío con un sistema de espacio de aire y transacciones 100% fuera de línea.
Sin embargo, Castilla llegó a añadir que para que plataformas como Bitmart eviten incidentes futuros, necesitan utilizar una combinación de tecnologías innovadoras en combinación con protocolos de gestión rígidos. Para empezar, sus claves privadas no deben protegerse en línea, porque todo lo almacenado en línea es susceptible de ser atacado, sin importar qué tan bien esté protegido. «Debieron haber trabajado con listas blancas, por lo que incluso si alguien obtuviera acceso a cada clave privada, solo podría enviar fondos a una dirección de billetera confirmada previamente», explicó.
Además, Bitmart puede haber utilizado un sistema de co-firma de computación multipartita avanzada (MPC) utilizando un módulo de autenticación de múltiples firmas. Esto requeriría que los piratas informáticos necesitaran varias personas para manejar adecuadamente las transacciones en cuestión.
Castilla agregó: «Hackear una sola clave privada no puede hacer absolutamente nada». Además, alguien que desempeñara el papel de administrador de cuentas clave podría haber intervenido y «detenido la transacción para llegar al cliente y ver si era legítima».
Mejores medidas de seguridad son la necesidad del momento
Con el ecosistema criptográfico aparentemente bajo el ataque constante de incidentes de piratería maliciosa, vale la pena señalar que Celsius confirmó recientemente que la plataforma de préstamos de activos digitales también confirmó que enfrentaba una pérdida de $ 50 millones a través de una explotación relacionada con finanzas descentralizadas (DeFi). protocolo BadgerDAO.
Informes del ataque primero apareció el 9. de diciembre con el protocolo de su equipo de desarrolladores central anunciando que han recibido «múltiples exportaciones de fugas no autorizadas» en conexión con sus clientes. Luego pausan todos sus contratos inteligentes existentes para limitar más pérdidas posibles.
Dicho esto, no todas han sido malas noticias recientemente, ya que el protocolo de cadena cruzada Synapse Bridge reveló que el 9 de noviembre, su equipo de seguridad podría explotar millones de dólares en el metapolo Avalanche Neutral Dollar (nUSD) para evitar que los abusadores lo hagan. a su manera con casi $ 8 millones en moneda digital.
