Los hackers envían una falsa „actualización“ para robar 22 millones de dólares de las carteras de Bitcoin

Los hackers de la caza del cripto han robado más de 22 millones de dólares a los usuarios de Electrum, una popular cartera de Bitcoin, en los últimos dos años utilizando una „técnica simple“ que implica actualizaciones falsas, según un informe de ZDNet del lunes.

Los investigadores declararon que la técnica de hacking fue inicialmente observada en diciembre de 2018 y desde entonces fue utilizada en varios ataques en los próximos años para estafar millones de dólares a los desprevenidos usuarios de Electrum. El último de estos ataques fue tan reciente como septiembre del mes pasado.

Cómo una „actualización“ resultó ser costosa

Las publicaciones relevantes en los foros de Bitcoin Up mostraron que los hackers se las arreglaron para enviar notificaciones de „actualización“ de la aplicación Electrum en los teléfonos de las víctimas. Cuando estos últimos actualizaban sus aplicaciones, los fondos eran inmediatamente robados y desviados a las carteras supuestamente controladas por los hackers.

Los hackers parecían tener una idea clara de cómo funcionaba la cartera de Electrum, los registros que utilizaba y cómo se manejaba la seguridad. Fue con este conocimiento que fueron capaces de pasar desapercibidos y robar a las víctimas.

Así es como supuestamente lo hicieron: Todas las carteras Electrum están diseñadas para conectarse al Bitcoin a través de ElectrumX, una red de servidores Electrum que la aplicación de carteras utiliza para procesar transacciones y almacenar monedas.

Sin embargo, el enfoque de código abierto de Electrum significaba que un desarrollador malintencionado podía establecer su propio servidor de puerta de enlace ElectrumX. Esto les permitió establecer servidores maliciosos y ver a los usuarios conectarse a esas redes comprometidas, permitiendo que el crimen ocurra.

Lo anterior permitió a los atacantes instruir al servidor para mostrar un popup (malicioso) en la pantalla del usuario con instrucciones para una „actualización de seguridad“, como muestra la imagen de abajo:
Imagen: ZDNet

El URL ni siquiera es para el sitio web oficial de Electrum, sino para dominios similares o repositorios GitHub como se muestra arriba. Esto significó que los usuarios terminaron instalando una versión mala de la cartera de Electrum. Una vez que esto se hizo y los usuarios abrieron sus aplicaciones, una contraseña de un solo uso (OTP) – que normalmente se utiliza antes de solicitar transferencias de fondos – se mostró a los usuarios y al entrar en el OPT correcto, todos los fondos fueron transferidos a las carteras de los hackers

El Bitcoin robado conduce a una salvaguarda

Según el informe, las carteras de los hackers tienen más de 1980 Bitcoin, valorado en más de 22 millones de dólares a precios actuales. Sin embargo, una gran cantidad de eso se puede rastrear hasta un único incidente en agosto, cuando un usuario informó de la pérdida de más de 1.400 Bitcoin por un ataque a la cartera de Electrum.

Mientras tanto, el equipo de Electrum ha tratado de mitigar estos incidentes en el futuro. Un sistema de lista negra de servidores está ahora en vivo en los servidores de Electrum X para bloquear adiciones maliciosas a sus redes junto con el uso de una actualización que evita que los servidores muestren ventanas emergentes con formato HTML a los usuarios finales.

(Nota Anti-FUD: El protocolo Electrum o la seguridad de la billetera no ha sido comprometida de ninguna manera y permanece completamente segura al momento de la publicación. El hackeo fue posible usando un método malicioso muy específico que involucró a Electrum, y es ampliamente similar a como los sitios falsos roban los fondos de las víctimas).