El investigador en cadena ZachXBT ha notado otro ataque de drenaje de billetera, abarcando docenas de direcciones. Los asaltos aparentemente aleatorios han estado todos conectados a la filtración de datos de Last Pass, exponiendo potencialmente múltiples billeteras.
ZachXBT informó que se tomaron un total de $5.36M de billeteras personales que contenían Bitcoin y activos del ecosistema de Ethereum. Todas las direcciones aparentemente aleatorias tenían una cosa en común: usaban Last Pass como su almacenamiento y protección de contraseñas. Después de una filtración de datos en 2022, la lista de billeteras resultó estar comprometida.
ZachXBT también identificó a los atacantes como una entidad cohesiva, el ‘actor de amenaza de Last Pass’. Los atacantes tenían un enfoque similar para drenar las billeteras, luego intercambiaron inmediatamente a través de intercambios instantáneos por Ethereum y Bitcoin. El ataque afectó a múltiples tokens, pero los hackers intentaban simplificar sus tenencias.
Las víctimas de Last Pass enfrentan otra ronda de ataques a billeteras
Aparentemente, algunos de los propietarios de las billeteras también almacenaban claves privadas en el servicio, filtrando acceso directo a las billeteras. El ataque real ocurrió mucho después de la filtración de datos, y puede haber más billeteras que están potencialmente expuestas, pero aún no drenadas.
El lote reciente de billeteras drenadas incluye influenciadores de criptomonedas con nombres de ENS, así como usuarios activos de DEX y DeFi. A pesar de ser experimentados, las direcciones expuestas llevaron a pérdidas totales. Las billeteras automatizadas para recibir fondos o recompensas de contratos inteligentes pueden estar especialmente en riesgo.
En uno de los casos, los fondos recibidos provenían de un usuario de OpenSea, potencialmente de la venta de un NFT. En este caso, la billetera receptora puede estar automatizada y ya estar vinculada al mercado de NFT. La billetera fue drenada poco después, con los fondos enviados directamente para un intercambio anónimo.
Más de 40 direcciones en total han sido drenadas hasta la fecha. En algunos casos, las direcciones muestran evidencia de estar bajo vigilancia, ya que el drenaje ocurrió justo después de un depósito reciente de fondos. Algunas de las billeteras recibieron fondos de intercambios para almacenamiento o como retención intermedia, y fueron drenadas en un corto período de tiempo después de la transacción entrante.
ZachXBT ya había rastreado un lote anterior de 22 direcciones, con pérdidas que superaban los $6.2M incluso en la etapa anterior del mercado alcista. Otros investigadores en cadena también han sonado la alarma sobre billeteras potencialmente expuestas.
Han pasado 2 años desde que Path sonó la alarma.
Desde entonces hemos investigado miles de estos robos.
Incluyendo 2 más en las últimas horas.
Por favor, migra tus fondos a nuevas billeteras si has utilizado LastPass.
Por favor, diles a tus amigos.
Por favor. Te lo ruego. 🙏 https://t.co/5xd5oYxbwb
— Tay 💖 (@tayvano_) 16 de diciembre de 2024
La única solución para los usuarios es abandonar todas las billeteras potencialmente expuestas. El riesgo permanece para cualquiera que haya utilizado Last Pass antes del exploit en 2022. Todos los fondos deben ser movidos a nuevas direcciones, ya que las antiguas ya están monitoreadas para transacciones entrantes.
El último ataque a billeteras sigue a un lote previo de billeteras vinculadas a datos de Last Pass. En octubre de 2023, un total de 25 billeteras fueron drenadas de $4.4M en monedas y tokens digitales. Como se informó anteriormente, algunas de las billeteras tenían fondos sustanciales y pertenecían a personas influyentes en criptomonedas, incluso capitalistas de riesgo y desarrolladores de DeFi.
El hackeo anterior no alertó a todos los propietarios de billeteras expuestos a Last Pass. ZachXBT ha advertido anteriormente sobre billeteras potencialmente expuestas, aunque los hackers aún lograron atacar más cuentas.
Hackeos enviados directamente a intercambios
A diferencia de otros intentos de hackeo, las billeteras fueron drenadas directamente a cuentas de intercambio. Esto sugiere que el hacker tenía control total y decidió comerciar los fondos como una forma de ocultarlos. En un caso, una billetera fue drenada de 15 ETH, que fueron enviados directamente a una dirección de intercambio.
Otra billetera perdió 32 ETH, que fueron enviados a la billetera caliente de FixedFloat. El intercambio también fue utilizado para otras billeteras. El intercambio en sí no se ve afectado y es completamente neutral al hackeo. Sin embargo, el DEX es un objetivo habitual para los hackers, utilizado para transformar fondos y cubrir sus huellas. Anteriormente, los analistas han rastreado fondos de un ataque contra Rocket Pool hacia el mismo DEX.
FixedFloat ofrece un servicio de intercambio simplificado con tarifas relativamente altas, sin requerir una cuenta o KYC. El intercambio en sí ha sido un objetivo de hackers, cuando fue explotado en marzo por $26M en ETH y BTC.
Consigue un trabajo bien remunerado en Web3 en 90 días: La hoja de ruta definitiva
