La plataforma de préstamos cripto Exactly, fundada por argentinos, sufrió un robo de 4.323 ethers, equivalentes a u$s7 millones de dólares, del total de u$s36 millones que custodia la firma.
La empresa resolvió la brecha de seguridad, reactivó las operaciones en pocas horas y trabaja con la policía, expertos en ciberseguridad y empresas como Chainalysis para identificar a los atacantes y recuperar los fondos.
No solo eso: ofrece una recompensa de u$s700.000 a quienes brinden cualquier información que permita dar con las monedas robadas y los responsables del hackeo.
La startup tomó una determinación poco usual en el país: comunicó el incidente a los usuarios ni bien se enteró, cuando empresas y organismos públicos mantienen el silencio. La serie de ataques a protocolos de finanzas descentralizadas (DeFi) de las últimas semanas pone en relieve el nuevo foco de los atacantes, que van por un mercado incipiente.
DeFi: por qué son el nuevo blanco de los cibercriminales
"El atacante pasó una dirección de contrato de mercado maliciosa, eludiendo la comprobación de permisos, y ejecutó una función de depósito también maliciosa para robar activos depositados por los usuarios", señalan desde Exactly.
En un ataque distinto, pero el mismo día, también fue vulnerado un protocolo que provocó la pérdida de fondos depositados, cuya suma aún no fue estimada.
Los hackeos se suman a los incidentes sufridos en tres versiones del lenguaje de programación Vyper, el 30 de julio, que resultaron en el robo de casi u$s70 millones en tokens de varios protocolos DeFi.
También fueron alcanzados por la acción de ciberdelincuentes los protocolos internacionales Earn.Finance y Zunami, perdiendo u$s287.000 y u$s2,1 millones en ETH, respectivamente.
El fenómeno viene de arrastre del 2022: solo en el primer trimestre se robaron cerca de u$s1.600 millones, mientras que más del 90% de lo robado en criptomonedas proviene de protocolos DeFi hackeados.
Aunque los hackers utilizan diferentes técnicas para infiltrarse, segúnChainalysis, el 35% de los incidentes de los últimos dos años han sido por fallos de seguridad. Hay varias razones por las cuales dirigen sus acciones a sistemas DeFi:
- Los miles de millones que dólares que procesan mensualmente
- La mayoría de los desarrollos son de código abierto: si bien ofrecen mayor transparencia y que la comunidad los audite, facilita la tarea de los criminales
- Las plataformas DeFi suelen estar interconectadas mediante puentes cruzados, que las vuelve más versátiles pero también más vulnerables
El tecnólogo Julio López señala a iProUP que el desarrollo de software requiere de mucho tiempo de perfeccionamiento y procesos de calidad, que las startups logran alcanzarlo con el tiempo.
Estas empresas salen al mercado y rápidamente manejan muchísimo más dinero que los bancos tradicionales. Esto las vuelve más atractivas a los cibercriminales.
Los atacantes apuntan a las plataformas DeFi porque manejan más fondos que los bancos
"Hay mucha gente talentosa detrás de la creación de estas plataformas, y también para efectuar este tipo de robo. Leen el software, encuentran el error y lo explotan para sacar dinero".
Ismael Lofeudo, abogado especializado en derecho informático y compliance, señala a iProUP que los protocolos suelen auditarse por programadores especializados en ciberseguridad, que también son startups y tienen mucho conocimiento pero poca experiencia, porque el ecosistema cripto todavía es muy nuevo.
"Todavía no existen sistemas o redes de contención ante fallas, como si los tienen otras industrias como la aseguradora o bancaria que están auditadas por estándares internacionales o tienen reaseguros", completa el letrado.
Maximiliano Scarimbolo, docente investigador en ciberseguridad, dice a iProUP que estos ataques no son improvisados, sino que conllevan un gran trabajo de análisis en el que se estudian las aplicaciones, se detectan las vulnerabilidades y puntos de quiebre, y a partir de ahí se planifica la operación.
"Puede ser que el protocolo tuviera una falla desde el comienzo o no se haya detectado en la auditoría y control. También puede haber empleados deshonestos dentro de la compañía", remarca.
Cómo "blanquean" sus criptomonedas los cibercriminales
Lofeudo explica que hay distintas formas de ocultar las transacciones para que sean difíciles de trazar: los criptoactivos permiten esconder el rastro a través de otros protocolos descentralizados que generan un gran número de operaciones entre distintas billeteras anónimas.
Los atacantes usan "mixers" para ocultar las transacciones y la ruta de los fondos
Así, el botín puede depositarse en plataformas llamadas mixers (mezcladores), como Tornado Cash y servicios similares para ocultar el origen y el destino de los fondos.
Luego, los cibercriminales envían esas divisas digitales a otro mixer, que las mezcla con monedas o tokens, para remitirlas a una o varias cuentas del destinatario, sin dejar rastro de ese intercambio. Una vez que los delincuentes reciben su dinero mixeado pueden:
- Canjearlo por otra criptomoneda
- Convertirlo a divisa fiat (dólar, p.e.) en una exchange centralizada o descentralizado persona a persona (P2P), en los que la operación se realiza entre usuarios
- Enviarlo a una cuenta en PayPal para ser usado desde allí o retirar el billete en firmas de remesas como Wester Union
"Es una suerte de pasamanos de dinero en una habitación oscura donde, al final, cada uno sale con un billete en el bolsillo, pero sin saber su procedencia. Así funcionan los mezcladores de monedas", resume López.
También pueden utilizarse cold wallets o monederos fríos, similares a un pendrive que no están conectados a Internet para evitar hackeos y luego transformar las monedas en efectivo en países que tengan un control del Estado mucho más débil, suma Lofeudo.
Robo de criptomonedas: qué deben hacer las víctimas
"Ante un a ataque de esta magnitud, el primer paso es la denuncia y realizar un registro total de todas las operaciones, no solo del momento del hecho en adelante, sino también buscar pruebas de vulnerabilidad, verificar la cadena de billeteras y, si se está a tiempo, inmovilizar los fondos", explica Scarimbolo.
Sin embargo, normalmente los saltos son tan rápidos que los pedidos de la justicia a veces llegan fuera de término y el activo sigue rotando, añade. Para Lofeudo es difícil llegar a la persona que generó el daño, porque generalmente estos movimientos son transnacionales.
"Suele darse con una billetera, pero eso no implica necesariamente saber en qué país se encuentra. Si bien la cooperación internacional en materia de cibercrimen avanzó muchísimo, estas tecnologías todavía son un desafío para los países que intentan investigar este tipo de delitos", opina.
Las probabilidades de que no se recupere lo sustraído por los ciberdelincuentes son muy altas. Por ello, también suelen ofrecer recompensas como hizo Exactly, para alentar el aporte de datos, además de lo relevado en la investigación penal.
Sin embargo, Scarimbolo remarca que esta puede alentar a cualquier avezado en tecnología a salirse de control y cometer un ilícito.
"Además, es difícil determinar quién es quién. Es decir, cómo saber si la persona que está aportando datos no es quién cometió el robo, además de sumarle un desafio y una cuota extra de adrenalina", concluye.