El analista on-chain The Smart Ape identificó que el atacante firmó las transacciones directamente, descartando vectores como exploits o phishing.

El atacante que drenó las 572 wallets de Ethereum con un total de USD 760.000 tenía acceso directo a las claves privadas de todas ellas. Esa es la conclusión central del análisis on-chain publicado por el investigador conocido como The Smart Ape sobre el robo de fondos en direcciones de Ethereum ocurrido entre el 29 y el 30 de abril.

La señal más clara, según The Smart Ape, es que el 99% de los fondos extraídos era ether (ETH) nativo. De acuerdo con su informe, solo apareció un token adicional en todo el incidente (402 SAI, equivalentes a unos USD 8.900), por lo que descartaría otros vectores usados en este tipo de robos:

El conjunto de herramientas estándar de drenaje como servicio trabaja engañando a los usuarios para que firmen aprobaciones. Una vez que esa firma está en la cadena, el drenador extrae USDC, USDT, WETH, cualquier cosa con una aprobación. Verías una larga y fea lista de tokens. Las salidas solo en ETH son la firma de alguien que firma las transacciones él mismo, es decir, que tiene la clave privada, no solo una autorización falsificada para mover fondos.

The Smart Ape, analista e investigador on-chain.

¿Qué aporta el tipo de wallets afectadas al análisis del ataque?

Como reportó CriptoNoticias, inicialmente se estimó que el ataque concentró wallets con años de inactividad, algunas con hasta 14 años de antigüedad.

No obstante, el análisis de The Smart Ape muestra que eso es solo parte del cuadro, ya que el 54% de las 572 wallets drenadas había tenido actividad en los últimos 12 meses, y otras 19 nunca habían enviado una sola transacción. «Esto es inusual porque la mayoría de los vectores de ataque conocidos apuntan a una población específica», señala el investigador.

«Este (atacante) parecía tener una clave para cada tipo de wallet a la vez», por lo que esta heterogeneidad descarta que el hacker haya explotado una vulnerabilidad puntual de una herramienta o período específico, en la visión del analista.

Más características del ataque a las wallets de Ethereum

Conforme al análisis on-chain de The Smart Ape, el ataque tuvo otras dos condiciones que permiten reconstruir cómo operó el atacante.

La primera es el ritmo. 572 wallets drenadas en 13 horas es veloz, pero no irregular, aseguró el investigador. La hora pico, las 5:00 UTC del 30 de abril, concentró 244 wallets vaciadas en sesenta minutos, por lo que «esa cadencia es consistente con un script iterando a través de una lista», señaló.

También es inconsistente con un embudo de phishing: las campañas de phishing gotean durante días, a medida que los usuarios abren correos o mensajes directos.

The Smart Ape, analista e investigador on-chain.

Y la segunda es el comportamiento posterior al drenaje. Tras el hackeo, los fondos fueron consolidados y enviados en una sola transacción al protocolo ThorChain, desde donde se puentearon a Bitcoin y Monero, como lo informó CriptoNoticias. The Smart Ape detalla que antes de esa transferencia el atacante envió dos transacciones pequeñas de prueba de 0,02 ETH y 2 ETH para verificar el camino de salida, y esperó tres horas tras completar el drenaje antes de mover el dinero.

Fuente: www.criptonoticias.com