Clicky

Hacker roba $ 7.4 millones en Ethereum con un truco increíblemente simple

hackeo a Ethereum

Los engañados serían inversionistas durante una ICO con ethereum que enviaron la criptomoneda a una dirección equivocada

Un hacker acaba supuestamente de robar alrededor de $ 7.4 millones de dólares en ether, la criptomoneda que sustenta la plataforma de App Ethereum, engañando a las víctimas para que envíen dinero a la dirección equivocada durante una Initial Coin Offering, o ICO, que traducido literalmente al español significa Oferta Inicial de Moneda. Esto es según una compañía llamada Coindash que dice que sus inversores estaban enviando sus fondos a un hacker.

El lunes, Coindash, que ofrece una plataforma de comercio para el ether, estaba programada para lanzar su Initial Coin Offering. Estas son esencialmente unidades de crowdfunding que permiten a los inversionistas poseer una participación en la App mediante la compra de activos digitales llamados tokens. Las ofertas iniciales de monedas son un método increíblemente popular de financiar una aplicación sobre ethereum, y algunas ICO han recaudado millones de dólares en cuestión de minutos de entrar en funcionamiento. Incluso las App más tontas han sido capaces de recaudar miles de dólares en inversiones simbólicas durante recientes ICOs.

El ICO de Coindash, al igual que muchos otros, se lanzó publicando simplemente una cadena de texto que representa una dirección Ethereum para que los inversores envíen dinero a la página web de la aplicación. Sin embargo, a pocos minutos de lo que se supone que era otro ICO de éxito, Coindash advirtió que su sitio web había sido hackeado y pidió a la gente no enviar ethereum a la dirección publicada.

Todavía no está claro lo que sucedió exactamente, pero parece que el hack fue increíblemente simple: El hacker supuestamente tomó el control del sitio web oficial de Coindash y cambió el texto en el sitio, publicando su propia dirección de cartera de ether en lugar de la de Coindash. Cuando la gente fue a "invertir" en Coindash, en realidad enviaron sus ether al hacker, no a la compañía.

A pesar de que Coindash se dio cuenta del hack y advirtió a los inversores rápidamente - sólo tres minutos después del lanzamiento del ICO - el daño ya estaba hecho.

Coindash hack

"WEBSITE HACKED", escribió Emmanuel Giménez, un empleado de Coindash, en la cuenta oficial de Slack de la compañía.

"GUYS WEBSITE IS HACKED! ¡No envíen sus ETH !!!", escribió a las 9:06 AM EDT la cuenta de Coindash en el popular foro de Bitcointalk, seis minutos después del lanzamiento del ICO.

"La Venta de Token está hecha, no envíe ningún ETH a ninguna dirección", anunció Coindash en Twitter el lunes por la mañana.

En el momento de escribir eso, los potenciales inversionistas habían enviado 43.438.45 ether (alrededor de $ 7.4 millones de dólares al tipo de cambio actual) a la dirección de Coindash que la compañía dice pertenece a un hacker. Etherscan, una herramienta web para el seguimiento de las transacciones ethereum, advierte que "hay informes de que ha sido comprometida la dirección de Coindash Crowdsale".

"Todo lo que sabemos ahora es que un atacante exterior cambió la dirección justo después de que comenzó la venta", dijo Ram Avissar, director de marketing de Coindash. "Hemos detenido el contrato de Token Sale y estamos pensando la mejor manera de compensar a los afectados".

En un comunicado publicado en el canal Slack de la compañía, Coindash dijo que "sufrió un ataque de hacking" en el que un "autor desconocido" o hacker "colocó maliciosamente" una dirección fraudulenta de ethereum en su sitio web.

Coindash comunicado

En respuesta, algunos usuarios se están quejando en las redes sociales. En Reddit, por ejemplo, los usuarios están especulando que el hack era realmente un "trabajo interno" que permitía a los creadores de Coindash robar millones de dólares mientras culpaba a un hacker anónimo que probablemente nunca sería encontrado. Sin embargo, no hay pruebas de ningún juego sucio en la parte de Coindash, y Occam's Razor puede favorecer la propia explicación de Coindash: Un hacker simplemente aprovechó el eslabón de seguridad más débil en el ICO. Es decir, el propio sitio web de Coindash.

Quien sea el culpable, los inversionistas están enojados con Coindash. "Oh vamos, ya he enviado mi eth", escribió un usuario de Bitcointalk. "Quiero mi dinero de vuelta. Es su sitio web y es su culpa que no haga todo por la seguridad". Otra persona que afirmó haber invertido escribió en el foro de Bitcointalk: "Demasiado tarde, ya he invertido !!!! He enviado 31k ETH a la dirección! Es mejor que recuperen mi dinero". No se pudo confirmar que estas personas habían invertido realmente, pero Etherscan confirma que fueron transferidas a la dirección grandes cantidades de ether.

El supuesto hack es uno de los más grandes en ethereum hasta la fecha. Después que un fondo de inversión ethereum basado en fichas llamado DAO perdió el año pasado más de 50 millones de dólares en un hack, los desarrolladores de Ethereum tomaron la difícil decisión de dividir la divisa en dos para restaurar los fondos perdidos. Sin embargo, ese movimiento fue visto por muchos como innecesariamente arriesgado (y generó una criptomoneda rival), y es poco probable que vuelva a suceder.

En el canal oficial de Coindash en Slack, los desarrolladores de la App escribieron que todos los inversores, incluso si envíaron fondos a la falsa dirección, recibirán tokens.

"Todos los inversores de CoinDash obtendrán sus tokens", escribieron los desarrolladores en Slack. "Estamos trabajando para resolver la situación".

Jesus_Caceres