La startup CoinDash informó que su sitio web fue hackeado y aproximadamente $7 millones de dólares en criptoactivos fueron robados a inversionistas que intentaban participar en la oferta inicial de moneda (ICO) de esta compañía.
Los inversionistas habrían sido instruidos a pagar con ethereum y enviar fondos a la dirección de contacto destinada para la venta de tokens. A tan solo minutos de iniciado el proceso, CoinDash informó que la dirección original de envío había sido cambiada por una dirección fraudulenta. Inmediatamente cerraron su sitio, pero era ya muy tarde, el daño estaba hecho.
Website has been hacked.
— CoinDash.io (@coindashio) 17 de julio de 2017
Ethereum ICO @coindashio had their website hijacked. Hackers change the ICO address to their own. $7 Million so far. https://t.co/6EzN5LnZvw
— Ethereum Classic (@eth_classic) 17 de julio de 2017
Según el portal Etherscan, el dinero fue sustraído en el transcurso de 2.100 transacciones canalizadas por medio de la dirección falsa.
Hasta ahora no se sabe quién es responsable del ataque. De acuerdo con un comunicado en su portal web aún se encuentran “bajo ataque” y han solicitado a los inversionistas dejar de enviar ethers al sitio, pues ya han cesado todas sus operaciones de recaudación.
Este ha sido un evento perjudicial tanto para nuestros contribuidores como para nuestra compañía, no obstante, no significa el fin de nuestro proyecto. Estamos investigando esta violación a nuestra seguridad y actualizaremos al público tan pronto como sea posible sobre los hallazgos.
COinDash
Sin embargo, han dejado claro que tanto los participantes afectados que enviaron sus fondos a la cuenta falsa como quienes los enviaron a la verdadera dirección recibirán sus respectivos criptoactivos. Pero, cabe destacar que, de acuerdo con el mismo comunicado se han negado a reconocer cualquier transacción efectuada luego de emitido su anuncio de cierre.
CoinDash tenía el objetivo inicial de recaudar alrededor de $12 millones de dólares, una cifra relativamente pequeña al compararla con otras ICO cuyo capital inicial acumulado supera con creces al objetivo de ésta.
La compañía ha hecho circular un formulario, el cual debe ser llenado por los inversionistas para poder recibir sus criptoactivos y mediante el cual estarían “contribuyendo” al esclarecimiento del hurto.
If you sent ETH to the hacker address, please fill this form.https://t.co/XCD8FngyJt
— CoinDash.io (@coindashio) 17 de julio de 2017
Finalmente afirmaron que lograron asegurar unos $6,4 millones de dólares de los primeros inversionistas antes de que se produjese el ataque.
¿Cómo lo hicieron?
En un momento como este lo que sobran son las interrogantes: ¿cómo CoinDash fue susceptible a un ataque tan simple? En este caso, tan solo les cambiaron la dirección de cartera en su página web. ¿Qué medidas, si las hay, pueden ser tomadas para identificar al autor y recuperar las criptodivisas sustraídas?
Lo cierto es que todavía no está claro exactamente qué sucedió, no obstante, las reacciones han sido inmediatas. Algunos usuarios en redes sociales como Reddit han manifestado sus opiniones, por ejemplo, están especulando que el ataque sería realmente un «trabajo interno” y que permitiría a los creadores de CoinDash escapar con millones de dólares mientras culpan a algún hacker que probablemente jamás será encontrado.
Otros usuarios han establecido similitudes de lo ocurrido con lo acontecido hace un año en el proyecto DAO, cuyo resultado final fue una bifurcación propuesta desde Ethereum para oxigenar a la Organización Autónoma Descentralizada, a la par de polémicas respecto al tiempo límite en el que los usuarios podían retirar sus respectivos tokens.
A la fecha no hay mayor sustento de esas afirmaciones, pero la percepción dentro del ecosistema, respecto al caso Coindash parece bastante negativa pues siendo una startup pequeña (por la cantidad que aspiraba recaudar) aunado al hecho de no contar con algún contrato inteligente o apoyo directo de un criptoactivo, como lo tuvieron los de DAO, el destino de los fondos hurtados no se vislumbra nada claro.