La wallet comunitaria de Monero fue vaciada por un hacker

Una brecha de seguridad permitió a un hacker extraer los fondos de la wallet comunitaria de Monero, un protocolo enfocado en la privacidad de las transacciones, lo que representa una pérdida de 2.675,73 XRM, equivalente a casi USD 460.000.

De acuerdo con una divulgación de un desarrollador de Monero a través de GitHub, el sistema de crowdfunding comunitario fue atacado el 1° de septiembre cerca de la media noche. Sin embargo, la información no se dio a conocer hasta el 2° de noviembre, mientras se realizaban investigaciones para prevenir nuevos ataques. El desarrollador, identificado como Luigi, indicó que todavía no se conoce el origen de la vulnerabilidad.

El denominado Community Crowdfunding System (CCS) de Monero es una wallet caliente (en línea) que sirve para financiar proyectos de desarrollo del protocolo. Además, la wallet hackeada sirve para inyectar fondos «ocasionalmente» a la wallet caliente que se utiliza para hacer pagos a la comunidad de contribuyentes, que no ha sido vulnerada y tiene un saldo de 244 XMR.

«Es posible que el atacante no sea consciente de lo que ha robado, en cuyo caso les pediría que consideren que han robado fondos donados por individuos para cosas específicas en las que están trabajando los contribuyentes de Monero», señalaba en el hilo el desarrollador Ricardo «Fluffypony» Spagni. Y agregó: «Este ataque es inconcebible, ya que han tomado fondos con los que un contribuyente podría contar para pagar el alquiler o comprar alimentos».

El equipo de Moonstone Research, una firma que utiliza herramientas para rastrear transacciones de Monero, detalló hallazgos de una investigación que parte de las notas del equipo de Monero. En concreto, se realizaron 11 transacciones desde la wallet vulnerada. «En particular, pudimos rastrear de manera confiable tres de las transferencias del atacante», señala el documento de Moonstone Research. En apenas 24 horas, determinaron que una de estas transacciones se envió a un servicio de intercambio, un exchange o a «sí mismo», a través dela función PocketChange de la wallet Monerujo. Las otras dos posiblemente fueron enviadas directamente a exchanges.

Según el post de Luigi, solo él y Spagni tenían acceso a la frase semilla de la wallet CCS, que se configuró en una computadora portátil con sistema Ubuntu en 2020 junto con un nodo de Monero. En 2021, Luigi transfirió los fondos de CCS a la wallet caliente del proyecto como medida ante el arresto de Spagni, que fue reseñado por CriptoNoticias; luego se revirtió la operación cuando se demostró que la razón del arresto no tenía que ver con Monero.

En mayo de 2023, Luigi realizó la última transferencia de CCS a la wallet caliente, a través de la cual se realizan los pagos a los contribuyentes. El 28 de septiembre Luigi inicia sesión en CCS para recargar la wallet y descubré que hay una transacción del 2 de septiembre con una donación y que el resto de los fondos fueron «barridos» en 9 transacciones.

Como consecuencia de estos hechos, varios contribuyentes especularon sobre lo que pudo haber pasado e incluso propusieron que el sistema migre a alguna hardware wallet (offline) de código abierto como MoneroSigner, e incluso que se utilicen multifirmas para asegurar los fondos de CCS. Sobre esto, Spagni comentó que sería un recurso difícil de implementar.

En cuanto a la naturaleza del hackeo, Spagni comentó: «Es totalmente posible que esté relacionado con los ataques en curso que hemos visto desde abril, ya que incluyen una variedad de claves comprometidas (incluyendo wallet.dats de Bitcoin, semillas generadas con todo tipo de hardware y software, monederos de preventa de Ethereum, etc.) e incluyen XMR que ha sido barrido». Con estas palabras, el desarrollador alude a los robos de wallets de criptomonedas que serían consecuencia del hackeo a LastPass, un gestor de contraseñas que encripta datos en la nube, como informó CriptoNoticias.

Otros desarrolladores sugirieron que la brecha de CCS podría haberse originado en el servidor de Ubuntu, porque las claves podrían haber estado en línea en un determinado momento. Otros preguntaron si el robo afectaría el desarrollo de Monero: la respuesta fue negativa porque ese fondo «no suele usarse para el desarrollo activo».

Recientemente, CriptoNoticias informó sobre una vulnerabilidad que afectó la privacidad en Monero durante 3 años.