Más de 500 carteras de Ethereum fueron drenadas de aproximadamente 800.000 dólares en un ataque coordinado dirigido a cuentas inactivas durante mucho tiempo, con los fondos robados posteriormente lavados a través del protocolo de cadena cruzada ThorChain. El incidente ha planteado nuevas preocupaciones sobre la seguridad de las tenencias cripto antiguas e inactivas.
Investigadores on-chain en firmas que incluyen a LevelBlue informaron por primera vez la actividad el 1 de mayo, señalando que el atacante desvió sistemáticamente fondos de cientos de carteras a una sola dirección. "Muchas de las carteras drenadas han estado inactivas durante más de 7 años", dijo el investigador on-chain Wazz en una publicación, destacando la naturaleza inusual del ataque que parece haber tenido como objetivo cuentas creadas hace entre cuatro y ocho años.
El vector de ataque sigue sin confirmarse, aunque los analistas de seguridad sugieren varias posibilidades, incluido el uso de kits de malware como StepDrainer. Según los investigadores de LevelBlue, tales herramientas utilizan ventanas emergentes falsas de conexión de cartera para engañar a los usuarios para que aprueben transacciones maliciosas. Después del robo, que ocurrió mientras Ethereum cotizaba cerca de 2.305,00 dólares, el atacante dirigió los fondos a través de ThorChain, intercambiando activos para complicar los esfuerzos de seguimiento.
Este exploit desafía la suposición largamente mantenida de que las carteras inactivas son inherentemente más seguras debido a su falta de interacción con nuevos contratos inteligentes. El incidente subraya los riesgos latentes vinculados a prácticas de gestión de claves obsoletas o claves privadas expuestas en brechas de datos históricas que solo ahora están siendo explotadas. Para los poseedores a largo plazo, sirve como un recordatorio crítico de que la inactividad de la cartera por sí sola no garantiza la seguridad en un entorno de amenazas en evolución.
El vector de ataque sigue sin estar claro
El principal misterio que rodea al drenaje de carteras es la ausencia de un punto de entrada confirmado. A diferencia de los exploits típicos vinculados a enlaces de phishing o aprobaciones de contratos maliciosos, este ataque no ha sido rastreado hasta una sola vulnerabilidad. Los investigadores de seguridad están explorando teorías que incluyen claves privadas comprometidas de antiguas filtraciones de datos, vulnerabilidades en software de generación de carteras desactualizado o el uso de malware sofisticado para drenar carteras.
La herramienta de malware como servicio StepDrainer ha sido identificada como un posible culpable. Opera en más de 20 redes blockchain, incluida Ethereum, y genera interfaces de conexión de cartera de apariencia auténtica que engañan a los usuarios para que cedan el control de sus activos. Este método evita la necesidad de explotar un fallo de contrato, centrándose en su lugar en la ingeniería social y el error del usuario.
ThorChain utilizado para el lavado
Tras el robo coordinado, el atacante comenzó inmediatamente a mover los casi 800.000 dólares en Ether robado y otros tokens a ThorChain. El protocolo de liquidez de cadena cruzada descentralizado permite intercambios de activos entre diferentes blockchains, como Ethereum y Bitcoin, sin depender de un intermediario centralizado.
Al convertir el ETH robado en otros activos y moverlos a través de las cadenas, el atacante fragmentó el rastro de la transacción, lo que dificulta significativamente que los investigadores rastreen y recuperen los fondos. Esta táctica es común en los exploits de DeFi, destacando la naturaleza de doble uso de la infraestructura descentralizada.
El incidente ha ejercido presión a la baja sobre el precio de Ethereum, que cotizaba a 2.305,00 dólares, un 1,78% más en las 24 horas posteriores a la noticia, según datos de Forbes. El activo enfrenta una resistencia técnica inmediata en sus promedios móviles de 5 y 10 días, alrededor de 2.308 y 2.320 dólares respectivamente, con un nivel de soporte clave en 2.200 dólares.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
