Crypto-Sec es el resumen quincenal de Cointelegraph sobre historias y consejos de criptomonedas y ciberseguridad.
Polter Finance drenado en ataque de préstamo flash "clásico"
El protocolo de finanzas descentralizadas (DeFi) basado en Fantom, Polter Finance, fue drenado de más de $7 millones a través de un ataque de préstamo flash "clásico" el 18 de noviembre, según el analista de blockchain Nick Franklin.
El atacante aumentó artificialmente el precio del token de gobernanza de SpookySwap, BOO, al pedir prestados "casi todos los tokens BOO del LP [el fondo de liquidez]." Una vez que el precio fue lo suficientemente alto, el atacante "pudo depositar 1 BOO y drenar todos los fondos."
Fuente: Nick Franklin
Los datos de la plataforma de análisis de blockchain BlockSec Phalcon confirman que antes del ataque, solo había 269,042.22851562786 tokens en el fondo de liquidez.
El atacante luego pidió prestados 269,042.22851562785 tokens BOO ($1.3 millones según el precio de BOO en ese momento) a través de un préstamo flash, dejando solo 0.000000000001 tokens restantes.
Dado que el precio de un token en un intercambio descentralizado está determinado por la proporción entre él y el token en el que está valorado, esto debió haber causado que el precio de BOO se disparara.
El atacante luego depositó un solo token BOO y procedió a pedir prestados $9.1 millones en tokens envueltos de Fantom (FTM), obteniendo una ganancia de $7.8 millones en el proceso.
El atacante luego repitió el ataque para obtener otros tokens, incluidos Magic Internet Money (MIM), sFTMX, Axelar USDC (axlUSDC), Bitcoin (BTC), Ether (ETH) y USD Coin (USDC). Algunas estimaciones han afirmado que el ataque drenó un total de $12 millones.
Franklin no especuló sobre cómo el atacante pudo recuperar suficientes BOO para pagar el préstamo flash. Sin embargo, una explicación probable es que lo compró de un fondo de liquidez diferente a un precio mucho más bajo.
Los usuarios de DeFi deben considerar los riesgos de depositar en plataformas que manejan tokens de baja liquidez, ya que los precios de estos tokens a menudo pueden ser manipulados fácilmente.
El fundador seudónimo de Polter Finance, conocido como Whichghost, ha presentado un informe policial sobre el incidente y está intentando negociar con el atacante.
CoinPoker golpeado por hackeo de billetera caliente
La plataforma de póker de criptomonedas CoinPoker fue recientemente víctima de un hackeo de clave privada, según un informe del 18 de noviembre de la plataforma de análisis de blockchain Cyvers. El atacante realizó transferencias a través de varias redes diferentes, incluyendo BNB Smart Chain, Ethereum y Polygon.
El 16 de noviembre, la plataforma de póker intentó abrir negociaciones con el atacante publicando un mensaje en la red Ethereum.
"Estamos al tanto de la actividad que involucra fondos robados de la dirección de la billetera [que comienza con 0x3c17]", decía el mensaje. "Buscamos establecer una comunicación segura para abordar este asunto de manera constructiva. [ …] Estamos dispuestos a discutir términos, incluyendo una posible recompensa, por el retorno seguro de los fondos."
Los datos de blockchain muestran que el atacante ya ha depositado la mayoría de los fondos robados en el mezclador de privacidad Tornado Cash, lo que dificulta su seguimiento, lo que puede crear debilidad en la posición de negociación de la plataforma.
El atacante de CoinPoker blanquea fondos a través de tornado cash: Fuente: Etherscan
Los usuarios de Web3 deben ser conscientes de que pueden perder fondos si una plataforma de juegos centralizada es hackeada y pierde los depósitos de los clientes. Afortunadamente, CoinPoker parece haber sido resiliente ante este ataque en particular, ya que los retiros parecen estar funcionando normalmente en la actualidad.
Hombre recibe 24 años por estafa de criptomonedas que colapsó un banco
Un hombre de la ciudad estadounidense de Elkhart, Kansas, recibió una sentencia de 24 años de prisión por su papel en una estafa de criptomonedas que colapsó el Heartland Tri-State Bank, según un informe del 5 de noviembre del sitio de noticias de tecnología del Reino Unido The Register. El líder detrás de la estafa aún no ha sido detenido por las autoridades.
Según el informe, Shan Hanes, de 53 años, era el CEO de Heartland Tri-State Bank en el momento en que entró en contacto con un estafador de criptomonedas a través de WhatsApp en 2023.
El estafador supuestamente convenció a Hanes de invertir en un esquema de inversión en criptomonedas falso. Pero Hanes no solo contribuyó con su propio dinero. También desvió fondos de la Iglesia de Cristo de Elkhart y el Club de Inversión de Santa Fe, organizaciones de las que estaba a cargo de manejar las finanzas.
Además, Hanes eventualmente comenzó a drenar fondos del propio banco. Más de $47 millones fueron drenados de los depósitos de Heartland Tri-State Bank y enviados a esta estafa de criptomonedas, pero la estafa nunca generó ganancias reales, y el dinero fue simplemente embolsado por su fundador no nombrado.
El director financiero del banco finalmente informó sobre el desfalco de Hanes a las autoridades. Pero para ese momento, las pérdidas eran tan grandes que superaron la capitalización del banco, lo que causó su quiebra.
Según un informe de CNN de julio de 2023, el banco fallido fue primero rescatado por la Corporación Federal de Seguro de Depósitos de EE. UU., luego comprado por Dream First Bank de Syracuse y reabierto.
Según el informe, las autoridades lograron recuperar $8 millones de las billeteras de Hanes, pero los $39 millones restantes se perdieron para siempre.
Los inversores en criptomonedas pueden querer ser escépticos respecto a las inversiones en criptomonedas que no se pueden rastrear en una blockchain a través de un explorador público de bloques. Estos tipos de "proyectos" a menudo resultan ser ficticios.
