Indodax - Rekt
En el arriesgado juego de los exchanges de criptomonedas, Indodax acaba de caer estrepitosamente.
Más de $25 millones desaparecieron más rápido de lo que puedes decir "rupia" en el último episodio de "Calamidades de Exchanges Centralizados: Edición del Sudeste Asiático."
El 10 de septiembre, Indodax, el exchange de criptomonedas más grande de Indonesia, aprendió una costosa lección sobre los peligros de la gestión de wallets y la persistencia de grupos de hackers sofisticados.
A medida que se difundían las alertas sobre el exploit, los observadores veían con fascinación cómo los hackers realizaban su oscuro "truco de magia", sifonando fondos a través de múltiples cadenas con la destreza de un David Copperfield digital.
En el mundo de los exchanges centralizados, "si no son tus llaves, no son tus criptos" no es solo un eslogan pegajoso, es una advertencia que sigue siendo cierta.
Tras este tsunami cripto en Indonesia, ¿será la reputación de Indodax tan endeble como sus protocolos de seguridad?
Las primeras señales de problemas surgieron cuando Cyvers dio la alarma en Twitter: "Nuestro sistema ha detectado múltiples transacciones sospechosas que involucran tus wallets en diferentes redes."
No pasó mucho tiempo para que los investigadores de la blockchain se movilizaran.
En cuestión de horas, surgió una imagen más clara de la devastación:
- 6.14M USDT
- 1,047 ETH ($2.48M)
- 25 BTC ($1.41M)
- 2.2M MATIC ($849K)
- 1.4M ARB ($749.6K)
- 2M ENA ($465K)
...y la lista continúa, sumando aproximadamente $25.22 millones.
A medida que los investigadores cripto juntaban las migas digitales, comenzó a surgir un patrón familiar.
Yosi Hammer, Jefe de IA en Cyvers, brindó algunas ideas intrigantes:
"Aunque es prematuro confirmar la participación de algún grupo específico, la velocidad y complejidad del ataque, el patrón y las características del ataque se asemejan mucho a las del Grupo Lazarus de Corea del Norte."
Hammer, sin embargo, enfatizó que aún es demasiado pronto para confirmar la identidad de los atacantes.
El análisis de SlowMist descartó un simple compromiso de una hot wallet, sugiriendo una brecha más insidiosa en el sistema de retiros.
En un movimiento que haría sonrojar a los protagonistas de Ocean's Eleven, los hackers lograron iniciar retiros que parecían legítimos, con direcciones de cambio que depositaban de vuelta en Indodax.
Hot wallets comprometidas de Indodax:
- Eth/Polygon: 0x3C02290922a3618A4646E3BbCa65853eA45FE7C6
- Tron: TWe5pEnPDetzxgJS4uN26VFg15wWtdcTXc
- BTC: 1JUToCyRL5UwgeucjnFAagKs4v1YqhjT1d
Mientras los espectadores contenían la respiración, finalmente Indodax rompió su silencio, anunciando un "mantenimiento completo" para asegurar la integridad del sistema.
En un movimiento que seguramente inspiró confianza, William Sutanto, cofundador de Indodax, aseguró a los usuarios que sus fondos estaban "100% seguros, tanto en cripto como en rupias."
Porque nada dice "todo está bien" como cerrar completamente tu plataforma.
Los hackers, mientras tanto, no estaban satisfechos con su botín inicial.
Como niños en una tienda de dulces cripto, procedieron a intercambiar su ganancia mal habida y movieron su botín robado aquí:
- Ethereum ($12.37m):
0x59101E532bc728599a2d373fCdC7aFf58cB48Df8
- Tokens ERC-20 diversos en Ethereum ($1.2m):
0xB0A2e43D3E0dc4C71346A71484aC6a2627bbCbeD
- Optimism ($900k):
0x3B8F1131a20e131c195bdA6FDd6e9bE38935eB6d
- Polygon ($6.8m):
0x90fffbc09e9a5f6d035e92d25d67e244ef5e904f
- Tron ($2.55m):
TBooefeY6FvGuyKfvp5yE1HmzhzvXnvA1P
- BTC ($1.4m):
bc1q5uqpn0ha5llrvhcvkq3nfalp8fj7qe3rydcvmf
En este juego de gato y ratón, parece que los atacantes han demostrado una vez más que son los Garfield del mundo cripto: gordos, arrogantes y siempre consiguiendo la lasaña.
Con Cyvers reportando más de 150 transacciones en este atraco digital, desentrañar este lío cripto promete ser más complejo que descifrar el feed de TikTok de un adolescente.
Una cosa es segura: cuando salga el análisis forense, será una historia tan intrigante que hará que hasta el más endurecido detective cripto se maree.
Preparen las palomitas, amigos, este thriller de la blockchain está lejos de terminar.
El botín robado fue una cantidad relativamente pequeña, ya que las wallets del exchange siguen conteniendo más de $400 millones en varios tokens, según los datos de Arkham.
En junio de 2023, la policía de Indonesia atrapó a un dúo de imitadores digitales que se hacían pasar por Indodax en redes sociales.
Estos astutos estafadores estaban vendiendo oro falso a víctimas desprevenidas, logrando robar unos 625 millones de rupias indonesias (alrededor de $40,500) antes de que la ley los atrapara.
La desgracia de Indodax sirve como un recordatorio de que, en el salvaje este de los exchanges de criptomonedas, incluso los peces más grandes pueden quedar atrapados en la red.
Cuando los exchanges están jugando a un "whack-a-mole" con amenazas que van desde estafadores de poca monta hasta hackers sofisticados que emplean técnicas a nivel de estados-nación, ¿es "si no son tus llaves, no son tus criptos" menos un mantra y más una guía de supervivencia?
Es una historia tan vieja como el Bitcoin; en la prisa por proporcionar liquidez, a veces la seguridad queda en segundo plano.
A medida que el espacio cripto sigue lidiando con la realidad de los grupos de hackers altamente sofisticados, está claro que se necesitan medidas de seguridad aún más rigurosas.
Pero en un mundo donde los exchanges están atrapados en una carrera armamentística contra algunos de los hackers más hábiles del planeta, ¿realmente podemos esperar que mantengan el ritmo?
¿Es demasiado pedir que los exchanges que manejan millones en fondos de usuarios aseguren mejor sus hot wallets, implementen controles de retiro más estrictos y, tal vez, contraten a un guardia de seguridad llamado Brutus?
En este caso, parece que sí.
Por ahora, Indodax se une a la lista cada vez mayor de exchanges que han sido víctimas de robos digitales de alto perfil.
A medida que los hackers continúan apuntando a los exchanges de criptomonedas con una sofisticación creciente, uno no puede evitar preguntarse: ¿Será tu exchange favorito el próximo en su lista o ya ha pagado su "deuda de seguridad"?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Peligro Digital
A medida que las riquezas digitales se disparan, también lo hacen los depredadores oportunistas, emergiendo desde los rincones oscuros del ciberespacio hacia nuestra realidad. Bienvenido al nuevo salvaje oeste, donde tu frase semilla podría ser la combinación que te lleve a la tumba. ¿Está tu cripto haciéndote un objetivo?
Bedrock - Rekt
Bedrock acaba de aprender una lección sobre por qué siempre debes revisar tus cálculos dos veces. En un giro que haría que incluso un físico cuántico se rasque la cabeza, su vault uniBTC decidió jugar rápido y suelto con las tasas de cambio, transformando depósitos en Ethereum en una mina de oro de Bitcoin.
Onyx Protocol - Rekt II
Otro fork de Compound v2 que no logra encontrar la suerte, Onyx Protocol, ha sido explotado nuevamente. Esta vez, las pérdidas ascienden a $3.8 millones, robados por la misma vulnerabilidad que los golpeó el año pasado.