Radiant Capital ha hecho pública una autopsia del ataque del 16 de octubre que provocó el robo de más de USD 50 millones en activos digitales de las redes BNB Chain y Arbitrum. Según Radiant, el atacante comprometió los dispositivos de tres de sus desarrolladores de larga trayectoria.
Los hackers lograron comprometer los dispositivos a través de una "sofisticada inyección de malware" utilizada para firmar transacciones maliciosas.
"Los dispositivos fueron comprometidos de tal manera que el front-end de Safe{Wallet} (también conocido como Gnosis Safe) mostraba datos de transacciones legítimas, mientras que las transacciones maliciosas se firmaban y ejecutaban en segundo plano", explicó el equipo de Radiant en un blog.
Radiant Capital es una plataforma financiera descentralizada (DeFi) que permite a los usuarios ganar intereses y tomar prestados activos a través de múltiples redes blockchain. Funciona como un "mercado monetario omnichain", permitiendo transacciones entre cadenas en mercados de préstamos de diferentes redes, como Ethereum, BNB y Arbitrum.
El ataque
Según la empresa, la brecha se produjo durante un ajuste rutinario de emisiones multifirma, un proceso que tiene lugar "periódicamente para adaptarse a las condiciones del mercado y las tasas de utilización".
La multifirma es el medio dominante para asegurar los protocolos Web3. Requiere múltiples firmas para autorizar una transacción.
Una vez aprobadas las transacciones, los dispositivos comprometidos interceptaban estas aprobaciones y las sustituían por una transacción maliciosa, que se reenviaba a las billeteras de hardware para su firma. Tan pronto como Safe Wallet detectaba un problema, mostraba un mensaje de error, instando a los usuarios a volver a intentar la firma.
Este tipo de fallo puede deberse a varios factores, como fluctuaciones del precio de gas, desajuste del nonce, congestión de la red e insuficiencia del límite de gas, entre otros.
"Como resultado, este comportamiento no levantó sospechas inmediatas", dijo el equipo. Este proceso permitió finalmente a los atacantes reunir tres firmas válidas.
Pérdidas por distintos tipos de ataques en 2024. Fuente: Hacken
De acuerdo con Radiant, las transacciones firmadas seguían pareciendo legítimas dentro de la interfaz de usuario, lo que dificultaba la detección del ataque. La brecha tampoco se detectó durante la revisión manual de las fases de simulación de Gnosis Safe UI y Tenderly de la transacción rutinaria.
"Esto ha sido confirmado por equipos de seguridad externos, incluidos SEAL911 e Hypernative", señala la autopsia.
Además de vaciar activos por valor de USD 50 millones, los hackers aprovecharon las aprobaciones abiertas para retirar fondos de las cuentas de los usuarios. Otros desarrolladores del núcleo de Radiant también pueden haber visto comprometidos sus dispositivos. El protocolo ha pedido a los usuarios que revoquen las aprobaciones en todas las cadenas para mitigar nuevos incidentes:
"Se ha recomendado encarecidamente a todos los usuarios de la plataforma Radiant que revoquen cualquier aprobación en TODAS las cadenas: Arbitrum, BSC, Ethereum y Base".
Según un informe de la firma de ciberseguridad Hacken, los exploits de control de acceso fueron responsables de USD 316 millones en fondos perdidos durante el tercer trimestre. Esto representa casi el 70% de todos los fondos de criptomonedas robados durante el trimestre.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.