WazirX, uno de los principales intercambios de cifrado centralizados de la India, perdió casi la mitad de sus activos totales después de que fue pirateado el jueves por la mañana.
"Somos conscientes de que una de nuestras billeteras multifirma ha experimentado una violación de seguridad", dijo la cuenta X de WazirX en una publicación a las 8:48 am, hora de Londres. "Nuestro equipo está investigando activamente el incidente".
La empresa de seguridad blockchain Cyvers fue una de las primeras en detectar el ataque.
🚨ALERTA🚨 Hola @WazirXIndia, nuestro sistema ha detectado múltiples transacciones sospechosas que involucran su billetera Safe Multisig en la red #ETH.
Un total de 234,9 millones de dólares de sus fondos se han trasladado a una nueva dirección. La persona que llama de cada transacción es financiada por @TornadoCash.
El sospechoso… pic.twitter.com/4sajAwd4Hb
– 🚨 Alertas Cyvers 🚨 (@CyversAlerts) 18 de julio de 2024
Las transacciones sospechosas comenzaron a sacar fondos de una de las billeteras Ethereum de WazirX alrededor de las 6:19 am.
En poco más de una hora, se habían agotado casi 235 millones de dólares en activos.
Entre el botín había más de 102 millones de dólares en Shiba Inu, una memecoin con temática de perros.
El hacker también robó 53 millones de dólares en Ether y 11 millones de dólares en el token MATIC de Polygon, junto con cantidades más pequeñas de más de una docena de tokens más.
Los registros en cadena muestran que el hacker ya está vendiendo partes de la criptomoneda robada.
WazirX tenía activos por valor de 503 millones de dólares, según el informe de prueba de reservas de junio de la bolsa. La pérdida de 235 millones de dólares representa el 46% de sus activos totales.
Desde entonces, WazirX ha suspendido los retiros de efectivo y criptomonedas.
El hackeo se suma a los 684,3 millones de dólares ya robados en incidentes similares en 2024, según DefiLlama.
Si bien la cantidad robada cayó un 56% entre 2022 y 2023 a 1.420 millones de dólares, los expertos en seguridad han advertido que los ciberdelincuentes regresarán con el mercado alcista.
Rompiendo la caja fuerte
WazirX utilizó una billetera multifirma segura, o multifirma, para guardar las criptomonedas de sus usuarios.
Estas carteras suelen considerarse más seguras que las carteras normales, ya que requieren que varias personas firmen cada transacción.
Esta vez, el hacker encontró una manera de eludir esta medida de seguridad.
"Parece que los firmantes de la cuenta afectada firmaron una transacción que cambió la dirección del contrato de implementación en el proxy", dijo Mikhail Mikheev, desarrollador de software de Safe, en un grupo en la aplicación de mensajería Telegram y confirmó a DL News.
En otras palabras, después de que el hacker obtuvo acceso a los sistemas de WazirX, actualizó el código que gobierna la billetera para eludir sus funciones de seguridad.
"Hasta donde sabemos, ninguna otra caja fuerte se ve afectada", dijo Mikheev. "Actualmente estamos cooperando con WazirX para investigar el problema más a fondo".
Otro truco de intercambio
El hackeo de WazirX no es el primer incidente de este tipo en los últimos meses.
En mayo, la bolsa japonesa DMM Bitcoin sufrió una “fuga no autorizada” de más de 300 millones de dólares.
El detective seudónimo en cadena ZachXBT dijo que el Grupo Lazarus de Corea del Norte puede estar detrás del hackeo de DMM Bitcoin debido a "similitudes en las técnicas de lavado y los indicadores fuera de la cadena".
Ari Redbord, jefe global de políticas de TRM Labs, una empresa de inteligencia blockchain, dijo que el ataque tenía "las características de un hack prototípico [norcoreano]".
Aún no se sabe si Lazarus Group también está detrás del hackeo de WazirX.
Tim Craig es corresponsal de DeFi de DL News con sede en Edimburgo. Comuníquese con sugerencias en tim@dlnews.com.
