Nexus Mutual - Hugh Habla
No estás tan seguro como piensas.
Las hardware wallets y claves privadas son inútiles si tu dispositivo está comprometido.
Los apes pagan su tax y los traders pierden sus fondos, pero los usuarios cautelosos no merecen perder su dinero.
Hugh Karp de Nexus Mutual fue hackeado por $8M.
Esta historia es diferente a las que solemos cubrir normalmente, y quisimos reportarla adecuadamente. La codicia y la impaciencia no tienen nuestro respeto, pero cuando un individuo se convierte en blanco sin ningún tipo de culpa, merece un poco de compasión.
Este ataque pudo haberle pasado a cualquiera de nosotros.
Hablamos con Hugh una semana después de que sucedió el ataque. El resumen que sigue es de su declaración oficial.
El lunes 14 de diciembre a las 9:40am UTC, fui engañado para aprobar una sola transacción que envió 370,000 NXM a un hacker en lugar de lo que pensé que era una reclamación de unas recompensas de minería. El hacker ha liquidado la mayoría del NXM en ETH/BTC y ha estado dispersándolos a una variedad de direcciones y exchanges.
rekt:
Hola Hugh,
Gracias por hablar con nosotros, primero que todo queremos decir; sentimos que esto te haya pasado a ti.
No quisimos cubrir esta historia sin hablar contigo primero, obviamente hay un elemento personal mucho más marcado en este ataque comparado con los que normalmente cubrimos.
Ha pasado poco más de una semana desde el ataque - ignorando la pérdida financiera, ¿cómo te ha afectado el incidente?
Hugh:
Ha sido bastante duro la verdad, una montaña rusa de emociones y poco sueño, especialmente los primeros días pero ya ha empezado a asentarse.
Las primeras 3 horas definitivamente fueron las peores, como seguro muchos en crypto han experimentado. Te da la sensación de que se te encoge el estómago y ganas de vomitar, mi cuerpo entero estaba temblando y todo débil.
El equipo Nexus y otros en la comunidad realmente me ayudaron aquí, Rox (nuestra CTO) y Anatol (nuestro experto de seguridad) tomaron control de la situación y me guiaron por los siguientes pasos, luego la comunidad más amplia empezó a involucrarse en rastrear fondos y otras cosas.
rekt:
No me sorprende que una pérdida de $8m cause efectos secundarios físicos - debe de haber sido horroroso.
¿Cómo estás lidiando con ello psicológicamente? ¿Ha cambiado como piensas sobre la industria?
Hugh:
En ese tema creo que estoy mejor, suelo tomar una visión a largo plazo de las cosas, y antes de que el verano DeFi realmente empezara, NXM estaba sólo alrededor de los $3. Entonces aunque he perdido mucho dinero, no lo tenía hace unos 4-5 meses. Una start-up es una montaña rusa de todos modos, así que esto no es nada más que una mala racha, estoy confiado en que las cosas cambiarán.
rekt:
Tu resumen escrito del incidente es fascinante.
En una sección escribes;
“Hay conexiones con otras víctimas de lo que creemos son ataques similares.”
¿Puedes explicar estas conexiones?
Hugh:
No puedo dar muchos detalles ahora mismo, ya que todavía hay investigaciones activas, pero estamos conscientes de al menos 2 otros miembros de Nexus Mutual que parecen haber sido afectados por incidentes similares. Y tras anécdotas de otros contactos sabemos que hay varias más víctimas que han sido impactadas. Encontramos las dos cuentas mientras rastreábamos los movimientos de los fondos.
Imagino que hay opiniones dando vueltas de que el ataque tenía claramente un objetivo específico y por ende los usuarios normales de DeFi no tendrían que preocuparse. Supongo que es correcto en algún nivel, pero yo remarcaría que no tienes que ser un perfil alto para ser un blanco. En general, advertiría contra la idea de “no me va a pasar a mi”.
rekt:
Estabas usando una hardware wallet, tus claves privadas no fueron comprometidas - ¿qué pueden hacer los usuarios para prevenir que esto les pase a ellos?
Hugh:
He estado pensando en esto desde el ataque, y honestamente no estoy seguro de la mejor solución. La hardware wallet mostrará suficiente información para que puedas verificar exactamente lo que estás aprobando, pero tienes que tener bastante mentalidad técnica para entenderla. Las transferencias sencillas para tokens bien conocidos están bien, pero cualquier interacción con smart contracts es probablemente casi imposible de entender para el usuario normal. Personalmente, voy a comprobar toda la información de la transacción con fuentes externas a partir de ahora, pero no creo que esta sea una solución factible para todos.
rekt:
En el resumen, escribes “Mi ordenador fue comprometido y Metamask fue modificado desde el disco”.
¿Tienes alguna idea de cómo fue comprometido tu ordenador?
Hugh:
No tenemos una idea entera todavía, seguimos realizando pruebas diagnósticas en mi PC. Creemos que el malware vino desde CoinBene, pero es posible que provenga de otro sitio.
rekt:
Había algunos mensajes en Twitter que sugerían que habías identificado al agresor, ¿puedes contarnos sobre tu comunicación con él/ella?
Hugh:
Nuestra CTO, Roxana, tuvo una breve conversación en Telegram con uno de los agresores, pero también los conectamos con otras víctimas del hack rastreando transacciones y hablando con la policía. No puedo divulgar mucho más para ahora, además de decir que creemos que es un grupo de hacking altamente sofisticado.
rekt:
¿Has hablado con los cuerpos policiales sobre el hack?
Hugh:
Si, hemos hablado con la policía del UK que está coordinando en conjunto con otras jurisdicciones. Otros casos han sido vinculados así que lo están tratando como una investigación más grande.
rekt:
¿Sentiste que la policía tenía experiencia en manejar este tipo de casos?
Cubrimos muchos hacks y exploits que implican cantidades enormes de dinero, pero parece que pocas veces se llevan ante la policía - ¿por qué crees que es así?
Hugh:
La verdad no, parece que están más preparados para asuntos como fraudes de tarjetas de crédito y otras cosas pequeñas. La otra gran dificultad es el aspecto internacional, eso retrasa los tiempos de respuesta y los esfuerzos de coordinación.
rekt:
Los protocolos de seguros ofrecen a los hackers la oportunidad de multiplicar sus ganancias al sacar una póliza antes de hackear un protocolo - ¿alguna vez has visto evidencia de que suceda?, ¿debe estar permitido?
Hugh:
No lo hemos visto nosotros todavía, pero estoy seguro que pasará. En Nexus Mutual hemos introducido prueba de pérdida así que tienes que probar que controlas una cuenta que ha sufrido una pérdida. Esto prevendrá los peores impactos.
Los productos de seguros pueden funcionar sin este criterio, pero serán mucho más caros a largo plazo, ya que pagarán recompensas adicionales. Para productos sostenibles a largo plazo es mejor alinear los intereses lo máximo posible.
rekt:
La comunidad ha establecido una Gitcoin grant para reembolsar algo de tus pérdidas - dijiste que el dinero será utilizado para desarrollar herramientas de seguridad para wallets - ¿nos puedes dar más detalles?
Hugh:
Correcto. Todavía no he establecido detalles precisos, pero la meta es incentivar soluciones, o progreso en cosas técnicas, para wallets de alta seguridad que también son buenas en el aspecto de experiencia del usuario. Sé que hay muchos equipos trabajando en esto, pero aún nos queda mucho y creo que es crítico que el espacio crypto más amplio tenga grandes opciones para la auto-custodia. Mi situación en particular es de perfil relativamente alto, pero el problema no está aislado a mi, así que ojalá sea una oportunidad para estimular un progreso más extensivo.
rekt:
Si nuestros lectores quieren ayudar o aprender más sobre el proyecto, ¿a dónde deben ir?
Hugh:
Si quieres donar al grant aquí está el enlace: Si quieres aprender más sobre Nexus Mutual nos puedes encontrar en Twitter @NexusMutual o unirte a nuestro Discord aquí.
rekt:
Gracias por hablar con nosotros.
Hugh:
No hay ningún problema, agradezco la oportunidad y ¡gracias por ser un poco más delicado de lo normal!
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
Tapioca DAO - Rekt
Otro día, otro robo de clave privada, otro protocolo rekt. Tapioca DAO en Arbitrum sufre una pérdida de aproximadamente $4.4 millones debido al compromiso de una clave privada. Se han recuperado algunos fondos, aunque el alcance total del daño aún está por verse.
Radiant Capital - Rekt II
Radiant Capital sufre un recorte de $53 millones. ¿Pensabas que los multi-sigs eran seguros? Piénsalo otra vez. La "robusta" configuración 3/11 de Radiant se desplomó como un castillo de naipes. Exploited dos veces en 2024, el futuro de Radiant parece tan brillante como un agujero negro.
Sobreviviendo al Peligro Digital
¿Crees que has dominado el campo minado cripto? Piensa de nuevo. Sobreviviendo al Peligro Digital - La guía rekt para convertir la paranoia en una forma de arte. Es hora de mejorar tus habilidades de supervivencia en cripto.