La empresa de seguridad de billetera blockchain de Singapur descubre un nuevo tipo de estafa dirigida a intercambios centralizados

Fraudulent Transactions Exploit Wallet Vulnerability, Could Have Stolen More than $3 Million in TRX

MonedasHacerUna empresa de seguridad de activos blockchain con sede en Singapur ha descubierto una estafa sofisticada que involucra transacciones falsas y múltiples contratos inteligentes dirigidos a los principales intercambios centralizados de criptomonedas. Si bien solo se ha confirmado un caso exitoso de esta estafa, un análisis más detallado de los contratos inteligentes en cuestión reveló que los perpetradores iniciaron cientos de estas transacciones falsas, potencialmente estafando intercambios, pasarelas de pago y compañías de billeteras centralizadas por un valor de más de $3 millones en TRX.

Es muy posible que tanto las empresas que han construido su propia infraestructura de billetera como los principales proveedores de soluciones de billetera, como Fireblocks, no estén adecuadamente preparados para detectar este tipo de transferencias fraudulentas. Esto representa una laguna operativa grave que puede ser aprovechada por actores malintencionados.

La estafa comenzó cuando el perpetrador inició una transferencia TRX fraudulenta a su dirección de depósito en un intercambio centralizado. Mediante el uso de múltiples contratos inteligentes, pudieron engañar a la infraestructura de billetera del intercambio para que validara la transacción fraudulenta. Esto llevó a que el intercambio acreditara la cantidad equivalente de criptomoneda en la cuenta del autor, que rápidamente liquidó en efectivo.

El perpetrador había activado en masa un contrato inteligente (Contrato inteligente A) para iniciar múltiples transferencias a través de un contrato inteligente proxy (Contrato inteligente B) a aproximadamente 100 direcciones de depósito de usuarios finales en varios intercambios centralizados.

El Contrato Inteligente A fue programado para interactuar con el Contrato Inteligente B para iniciar transferencias como transacciones internas, una técnica sofisticada que permite al perpetrador hacer que las transacciones fraudulentas parezcan legítimas.

Ilustración gráfica de cómo transacción fraudulenta Fue hecho

Lo que hizo que esta transacción fraudulenta fuera tan insidiosa fue que solo podía identificarse mediante un único parámetro en los datos de la transacción: «rechazada»: verdadero.

Los actores maliciosos se están volviendo más creativos en sus formas de robar fondos, apuntando a fallas y vulnerabilidades que antes se pasaban por alto en lugar de claves privadas. Solo mira el reciente caso WazirX y Lmnllo que provocó pérdidas de más de 230 millones de dólares. Esto plantea la cuestión de si los proveedores de billeteras están demasiado centrados en tecnologías y algoritmos de cifrado, potencialmente a expensas de medidas de seguridad más prácticas.

Para protegerse mejor de estafas como la mencionada, se recomienda a todos los proveedores de soluciones de billetera que presten especial atención a la verificación de los detalles de las transacciones, tanto internas como externas, especialmente cuando se trata de contratos inteligentes.