A medida que la incertidumbre regulatoria continúa plagando el ecosistema global de activos digitales, hay muchos defensores de la lucha contra la criptografía que continúan insistiendo en el hecho de que la industria en su conjunto tiene un largo camino por recorrer cuando se trata de protegerse de una manera que esté en cualquier lugar. comparable al sistema financiero tradicional. Ahora, con el reciente hackeo de Bitmart saliendo a la luz, a estos individuos se les ha dado aún más poder de fuego.

En resumen, el 5 de diciembre, el intercambio de criptomonedas Bitmart estaba en el extremo receptor de un gran hackeo que hizo que la plataforma perdiera casi $ 200 millones a través de un compromiso de billetera caliente alojado en las cadenas de bloques Ethereum y Binance Smart Chain. La violación fue expuesta por primera vez por la firma de seguridad de blockchain Peckshield, cuyo equipo de ciberseguridad reveló que terceros nefastos pudieron transferir inicialmente aproximadamente $ 100 millones a través de la cadena de bloques Ethereum, seguido de otro pirateo simultáneo de $ 96 millones utilizando las reservas BSC del intercambio de criptomonedas.

Los piratas informáticos pudieron acumular más de 20 tokens, incluidas varias monedas alternativas como Binance Coin (BNB), SafeMoon (SAFEMOON), BSC-USD y BNBBPay (BPay). También pudieron robar cantidades decentes de tokens de memes, incluidos Baby Doge Coin (BabyDoge), Floki Inu (FLOKI) y Moonshot (MOONSHOT). Según el equipo de seguridad de PeckShield, todo el esquema se puede atribuir a una simple maniobra de “transferencia, intercambio y lavado”.

Bitmart responde

Para comprender mejor cómo se produjo todo el incidente, Cointelegraph se acercó a Bitmart. Un portavoz de la plataforma comercial señaló que tan pronto como se descubrió la infracción, la empresa tomó medidas cerrando múltiples sistemas para “limitar cualquier tipo de daño inmediato”; las acciones incluyeron detener los retiros de tokens y evitar que los usuarios intercambiaran ciertos pares . El representante agregó:

“Planeamos continuar restaurando gradualmente los servicios, pero solo siguiendo el exhaustivo proceso de prueba de nuestro equipo de seguridad. La seguridad sigue siendo nuestra prioridad número uno. De hecho, a partir del martes 7 de diciembre de 2021, EST, hemos reanudado los depósitos y retiros de tokens ETH y ERC20 “.

Además, una respuesta escrita del intercambio también destacó que para reforzar su infraestructura de seguridad nativa, Bitmart había reemplazado todas sus direcciones de depósito de tokens en relación con monedas como Bitcoin (BTC), Ether (ETH) y Solana (SOL), como así como todas las demás fichas involucradas en el incidente. “También hemos notificado a nuestros usuarios los cambios pertinentes”, finalizó el comunicado.

Por último, el 6 de diciembre, Sheldon Xia, fundador y director ejecutivo de BitMart, anunció a través de Twitter que xchange utilizaría sus propios fondos para compensar las pérdidas derivadas del incidente: “También estamos hablando de varios proyectos. equipos para confirmar las soluciones más razonables, como los intercambios de tokens. No se dañarán los activos de los usuarios “.

La comunidad criptográfica muestra solidaridad

Tras el pirateo de casi $ 200 millones, los miembros de la comunidad global de Shiba Inu (SHIB) y el intercambio de criptografía Huobi Global se unieron para ofrecer a Bitmart cualquier tipo de asistencia necesaria para el intercambio no solo para fortalecer su configuración de seguridad existente, sino también para mantener un ficha precisa sobre las entradas de sus activos extraviados.

Hablando con Cointelegraph, el director de estrategia global de Huobi, Jeff Mei, señaló que en casos como el que se vio en relación con Bitmart, es imprescindible que la transparencia y la acción inmediata tengan la máxima prioridad, y agregó:

“Los intercambios deben alertar a sus usuarios, otros intercambios y las autoridades policiales lo antes posible y ser transparentes sobre lo que están haciendo para manejar el hackeo y la pérdida de fondos de los usuarios”.

Además, Mei enfatizó que los usuarios deben evitar agrupar todos sus activos en una sola plataforma o una sola billetera, y en los casos en los que sientan que algo sospechoso podría estar sucediendo, los usuarios no deben dudar en comunicarse con el intercambio relevante y contarles sobre el posible incidente de seguridad.

Al igual que Huobi, la comunidad Shiba Inu también confirmó sus intenciones de ayudar a Bitmart, y agregó que ya había intensificado sus esfuerzos para revisar las posibles amenazas de seguridad para ShibaSwap, un intercambio descentralizado construido por la comunidad (DEX).

Se necesita más educación

Raimundo Castilla, CEO de la plataforma de custodia de activos digitales Prosegur Crypto, dijo a Cointelegraph que lo que le sucedió a Bitmart con su reciente violación de seguridad fue algo que se podía prevenir fácilmente solo si los usuarios de la plataforma habían recibido la educación suficiente para mantener sus activos digitales en el exterior y no en el intercambio. sí mismo:

“Las billeteras calientes deben reservarse solo para los fondos con los que desea operar. Esta cantidad de dinero debería haberse guardado en almacenamiento en frío con un sistema con espacio de aire y transacciones 100% fuera de línea “.

Sin embargo, Castilla agregó que para que plataformas como Bitmart eviten incidentes futuros, deben emplear una combinación de tecnologías innovadoras junto con protocolos de gobernanza rígidos. Para empezar, sus claves privadas no deberían haber estado protegidas en línea, ya que cualquier cosa almacenada en línea es susceptible de ser atacada, independientemente de qué tan bien esté protegido. “Deberían haber trabajado con listas blancas, así que aunque alguien tenga acceso a cualquier clave privada, solo podría enviar fondos a una dirección de billetera previamente confirmada”, aclaró.

Además, Bitmart podría haber empleado potencialmente un sistema avanzado de co-firma de computación multipartita (MPC) que hizo uso de un módulo de aprobación de múltiples firmas. Esto habría requerido que los piratas informáticos necesitaran varias personas para aprobar las transacciones en cuestión.

Castilla agregó que: “Hackear solo una clave privada no puede hacer nada en absoluto”. Además, alguien que desempeñara el papel de administrador de cuentas clave podría haber intervenido y “detenido la transacción para llegar al cliente y ver si era legítima”.

Mejores medidas de seguridad son la necesidad del momento

Con el ecosistema criptográfico aparentemente bajo una avalancha continua de incidentes de piratería nefastos, vale la pena señalar que recientemente la plataforma de préstamos de activos digitales Celsius también confirmó que se había enfrentado a una pérdida de $ 50 millones a través de un exploit relacionado con el protocolo de finanzas descentralizadas (DeFi) BadgerDAO .

Los informes del ataque aparecieron por primera vez el 9 de diciembre y el equipo principal de desarrolladores del protocolo anunció que recibieron “múltiples exportaciones de retiros no autorizados” relacionados con sus clientes. Después, detuvieron todos sus contratos inteligentes existentes para mitigar más pérdidas potenciales.

Dicho esto, no todo ha sido una mala noticia recientemente, ya que el protocolo de cadena cruzada Synapse Bridge reveló que el 9 de noviembre, su equipo de seguridad pudo evitar un exploit multimillonario en el metapool Avalanche Neutral Dollar (nUSD), evitando sinvergüenzas de abrirse camino con casi $ 8 millones en monedas digitales.