El ataque masivo de USD 235 millones al exchange de criptomonedas indio WazirX el 18 de julio ha planteado serias dudas sobre la seguridad del exchange y el futuro de las criptomonedas en la India.
El ataque se desarrolló con una rapidez y precisión alarmantes, y la empresa de seguridad Cyvers de Web3 fue una de las primeras en detectar «múltiples transacciones sospechosas» relacionadas con el monedero «Safe Multisig» de Ethereum de WazirX.
El atacante fue capaz de mover la asombrosa cantidad de USD 234.9 millones en fondos a una nueva dirección, financiando cada transacción con activos de las criptomonedas Tornado Cash.
Los fondos robados consistían en una diversa selección de criptomonedas, incluyendo Tether (USDT), Pepe (PEPE) y Gala (GALA), y el atacante convirtió rápidamente estos activos en Ether (ETH) en un intento de ocultar el rastro de los fondos robados.
La billetera del exchange también contenía aproximadamente USD 100 millones en Shiba Inu (SHIB), USD 52 millones en ETH, USD 11 millones en Polygon's (MATIC) y cantidades menores de otros tokens.
En respuesta a la brecha de seguridad, WazirX suspendió inmediatamente las retiradas tanto de criptomonedas como de rupias indias en la plataforma. El exchange anunció además que estaba «investigando activamente el incidente».
Cuando se le pidió que comentara la situación, Rajagopal Menon, portavoz de WazirX, dijo a Cointelegraph: "No podemos hablar con la prensa en este momento. Puede obtener actualizaciones de nuestro mango de Twitter".
El futuro del sector de las criptomonedas en la India
El hackeo podría tener importantes implicaciones para el sector de las criptomonedas de la India, que ha florecido a pesar de la presión del gobierno.
Utkarsh Tiwari, director de estrategia del exchange de criptomonedas indio KoinBX, dijo a Cointelegraph que una brecha de seguridad de esta magnitud está destinada a causar preocupación, ya que afecta a múltiples partes interesadas en el ecosistema de criptomonedas, incluidos los inversores minoristas y otros exchanges. Y añade:
«Bajo la presidencia del G20 de la India, hemos visto a nuestro gobierno impulsar regulaciones integrales y estandarizadas para todos los Proveedores de Servicios de Activos Virtuales globales. Además, históricamente, hemos visto que el gobierno indio siempre ha priorizado la protección de los inversores por encima de todo».
Como resultado, Tiwari predice que es probable que los exchanges de activos digitales indias inviertan más en infraestructura de seguridad avanzada, algo que cree que puede ayudar a mostrar la resistencia y la innovación del mercado y la comunidad de activos digitales indios.
El sector de las criptomonedas de la India prevé un posible alivio de las estrictas normativas fiscales del país en materia de criptomonedas.
La ministra de Finanzas de la India, Nirmala Sitharaman, presentará el Presupuesto de la Unión para el próximo año fiscal el 23 de julio, y el cripto sector espera cambios favorables.
Desde 2022, la India ha impuesto uno de los regímenes fiscales más severos del mundo sobre las criptomonedas, con un impuesto fijo del 30% sobre las ganancias de capital sobre las ganancias de los activos digitales, incluidos los tokens no fungibles.
Además, también se aplica un impuesto del 1% deducido en origen (TDS) a las criptotransacciones.
Sumit Gupta, CEO del exchange indio CoinDCX, ha abogado por una reducción de la tasa TDS al 0.01% en el próximo presupuesto, ya que estas medidas fiscales han afectado significativamente a los cripto exchanges indios.
¿Cómo accedieron los atacantes a WazirX?
Meir Dolev, cofundador y director de tecnología de la empresa de seguridad Web3 Cyvers, dijo a Cointelegraph que, si bien la vulnerabilidad explotada sigue siendo desconocida, varios hechos clave han surgido desde el evento.
En primer lugar, señaló que WazirX utiliza una billetera multisig que requiere cuatro firmas para ejecutar una transacción. El exchange también utiliza Liminal como proveedor de custodia, que proporciona la última firma en cada transacción. Por último, la billetera de WazirX tiene una política de lista blanca, con sólo unas pocas billeteras a las que puede enviar fondos.
Dolev describió el vector del ataque: «El atacante utilizó dos direcciones diferentes, la que inició la transacción y la que recibió los fondos. La que inició la transacción necesitaba pagar la gasolina, así que financió su monedero a través de Tornado Cash».
«Ocho días antes del ataque, el hacker también desplegó un contrato malicioso que más tarde se utilizó para cambiar la implementación de la cartera WazirX».
Además, explicó que apenas unos minutos antes de la primera transacción del exploit, el atacante consiguió cambiar la implementación de su billetera multisig a su contrato malicioso utilizando las firmas de custodia de WazirX y Liminal. «A partir de ese momento, pudo ejecutar cualquier transacción sin necesidad de que WazirX o Liminal firmaran la transacción», destacó.
Dolev especuló que el atacante probablemente comprometió puntos finales o portátiles de WazirX para obtener las firmas necesarias, posiblemente empleando un secuestro de interfaz de usuario (UI) por parte de Liminal.
Afirmó que WazirX podría haber pensado que iba a firmar una transacción legítima, y esto es lo que vio en la interfaz de usuario, que posiblemente estaba controlada por el hacker.
Liminal Custody ha insistido en que su plataforma sigue siendo segura, y sus investigaciones preliminares muestran que una de las billeteras de contratos inteligentes multisig de autocustodia creadas fuera del ecosistema de Liminal se vio comprometida:
«Podemos confirmar que la plataforma de Liminal no ha sido vulnerada, y la infraestructura, los monederos y los activos de Liminal siguen permaneciendo seguros».
Se sospecha de la implicación de Corea del Norte
Varios analistas creen que hackers norcoreanos pueden ser responsables del incidente, añadiendo una capa de intriga geopolítica a una situación ya compleja.
La firma forense de blockchain Elliptic dijo previamente a Cointelegraph que los datos apuntaban hacia la participación de Corea del Norte, explicando: «La atribución de Corea del Norte se basa en el análisis del comportamiento transaccional onchain y otra información. Hay ciertos patrones y técnicas que son característicos de este tipo de actores».
Este sentimiento fue repetido por ZachXBT, quien dijo que el hack tiene las marcas potenciales de un ataque del Grupo Lazarus - una infame organización criminal norcoreana con una larga historia de cibercrimen.
Desde 2017, Lazarus ha aterrorizado el criptoespacio y se cree que está detrás de algunos de los mayores exploits de la industria, incluido el incidente de Ronin Bridge de USD 600 millones.
Además, a raíz del hackeo, el mercado de criptomonedas experimentó turbulencias significativas. Durante el hackeo se sustrajeron más de USD 100 millones en tokens SHIB, lo que provocó que el precio de la popular memecoin se desplomara un 10%.
La plataforma de análisis de blockchain Lookonchain informó el 19 de julio, un día después del hackeo, de que los atacantes ya habían comenzado a intercambiar activos SHIB por ETH, vendiendo 35,000 millones de tokens SHIB por valor de USD 618,000. En ese momento, el explotador había canjeado la mayor parte de los activos por 43,800 ETH (USD 149.46 millones) y poseía un total de 59,097 ETH (USD 201.67 millones).
WazirX ha tomado medidas rápidas para mitigar los daños y recuperar los fondos robados. El exchange ha presentado una denuncia oficial ante la policía y está llevando a cabo acciones legales adicionales.
Ha informado del incidente a la Unidad de Inteligencia Financiera y al Equipo de Respuesta a Emergencias Informáticas de la India y se está poniendo en contacto con más de 500 exchanges para bloquear las direcciones identificadas.
El exchange declaró: «Muchos exchanges están cooperando con nosotros, y estamos trabajando activamente con ellos en recursos adicionales para ayudar a nuestros esfuerzos de recuperación».
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.