Un día más, otro ataque de phishing en criptomonedas.
La cuenta oficial de Twitter de la popular colección de NFT de Ethereum Gutter Cat Gang -y la cuenta de su cofundador- ha sido hackeada, lo que ha provocado la pérdida de al menos 750.000 dólares.
Otros han sugerido que se perdieron hasta 900.000 dólares. Al menos uno de los monederos del atacante ha vendido desde entonces los activos robados por 640.000 dólares, según ha verificado AegisWeb3.
Alguien perdió el mono pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) 7 de julio de 2023
El amplio abanico de estimaciones se debe probablemente a la gran variedad de NFT capturados y a sus distintos precios mínimos.
En otras palabras, se robaron al menos 87 NFT a 16 usuarios, y una dirección perdió 36 NFT, incluido un Bored Ape que se vendió por 125.000 dólares en septiembre de 2021.
El hacker tuiteó el viernes promocionando un «lanzamiento público» de GutterMelo, una colección legítima de Gutter Cat Gang publicada a finales del mes pasado. El pirata informático publicó un enlace de suplantación de identidad a una entrega falsa que vació las carteras que se conectaban al sitio.
«La mayoría de las veces [con un ataque como este] una víctima está interactuando con un contrato malicioso al que la víctima da su aprobación para que ese contrato gaste los tokens en nombre del usuario. Así es como funciona ‘transferFrom()'», explicó a TCN Adrian Hetman, responsable técnico de Immunefi. «A partir de ahí, el hacker que controla el contrato básicamente puede transferir los NFT del usuario como quiera».
Dos días después, la Gutter Cat Gang publicó en Twitter un informe sobre la situación, expresando su remordimiento, que están trabajando con las fuerzas de seguridad y que están tomando medidas para evitar que vuelva a producirse un ataque.
Los fans del proyecto se sintieron decepcionados al no ver ninguna mención a una posible indemnización para las víctimas.
Las cuentas de Twitter de
Gutter Cat Gang fueron comprometidas ayer. Los tweets maliciosos se publicaron el viernes 7 de julio por la tarde (hora del Este). El equipo ha recuperado el control de las cuentas comprometidas conocidas.
Rápidamente nos pusimos en contacto con nuestros contactos en Twitter, las fuerzas de seguridad y los móviles…
– Gutter Cat Gang (@GutterCatGang) 8 de julio de 2023
TCN se ha puesto en contacto con el equipo de Gutter Cat Gang, pero no han respondido en el momento de la publicación.
¿Seguridad en Gutter Cat Gang?
A pesar del hackeo, Gutter Cat Gang afirma haber estado utilizando «autenticación multifactor y medidas de seguridad».
No está claro qué autenticación multifactor y medidas de seguridad estaba utilizando el equipo. Twitter ofrece tres opciones multifactor: autenticación basada en la aplicación, SMS o una clave dedicada.
«La opción más segura, con diferencia, es la autenticación basada en la aplicación mediante Authy, Microsoft Authenticator o Google Authenticator», explicó a TCN James Bore, experto en ciberseguridad. «El código de autenticación nunca se transmite a través de ninguna red, por lo que no hay oportunidad de que alguien lo intercepte».
«Una llave de seguridad USB dedicada es una opción más segura que una aplicación de teléfono, pero a menudo menos popular debido al gasto adicional, la incomodidad y que es más probable que pierdas u olvides una llave de hardware que tu teléfono», añadió Bore.
Sin embargo, el experto en criptografía ZachXBT afirma que el equipo utilizó la autenticación por SMS, añadiendo que «es una negligencia grave haber utilizado SMS [autenticación de dos factores] en tus redes sociales después de todos los recientes intercambios de SIM.»
«Un ataque de intercambio de SIM es cuando un estafador se hace con el número de teléfono de una víctima convenciendo a su proveedor de telefonía de que el teléfono se ha perdido y el número necesita ser portado a una nueva SIM», Andrew Whaley, director técnico senior de la empresa de seguridad de redes sociales Promon. La nueva SIM, por supuesto, es la del estafador, y una vez portado, tiene acceso a llamadas telefónicas y mensajes SMS». En este caso, Twitter permite restablecer la contraseña enviando un código de un solo uso al teléfono del usuario. Así que el estafador lo utilizó, tras el cambio de SIM, para hacerse con la cuenta de Twitter».
Los ataques de intercambio de SIM han sido frecuentes en el mundo de las criptomonedas últimamente, y ZachXBT afirma que se han producido «más de 30 intercambios de SIM relacionados con criptomonedas en las últimas semanas»
Este es un proyecto que no fue capaz de asegurar no una, sino dos de las cuentas de su equipo…
Ha habido más de 30 intercambios SIM relacionados con cripto en las últimas semanas. Cuando sabes que los proyectos están en el punto de mira, ¿por qué seguir usando SMS 2FA en lugar de una aplicación Authenticator o una clave de seguridad?
– ZachXBT (@zachxbt) 7 de julio de 2023
«Esto ilustra por qué el SMS no es una forma especialmente segura de autenticación de dos factores (2FA)», afirma Whaley. «Los ataques de intercambio de SIM varían según el país y el proveedor de telefonía móvil en cuanto a la facilidad con que se llevan a cabo. En algunos países, es tan fácil como pulsar el ‘1’ en el teclado del teléfono».
¿Cómo estar protegido?
Esto ha suscitado dudas sobre cómo protegen los proyectos de criptomonedas sus cuentas en las redes sociales.
Bore recomienda utilizar una «contraseña larga y única» y una llave de hardware para la autenticación de segundo factor.
Los usuarios también deben activar la protección de restablecimiento de contraseña, que requiere tanto el correo electrónico como el número de teléfono antes de que alguien pueda intentar restablecer la contraseña de una cuenta.
Para una última capa de protección, Bore recomienda tener un número de teléfono que sólo se utilice por seguridad, es decir, que nunca se facilite a nadie para que se ponga en contacto con él.
