-
La transferencia de los fondos se había hecho desde una versión del 2020 de la wallet Safe.
-
Los fondos se recuperaron “apenas dos horas después de que se reportó el incidente”.
“Se asumió que 100 ETH se habían perdido, pero finalmente pudieron ser recuperados”, escribió el 3 de junio Lukas Schor, cofundador de Safe, una wallet de Ethereum.
Esta historia comenzó siendo un desastre financiero para una persona que intentó transferir 100 ether (ETH), equivalentes a alrededor de 260.000 dólares, desde la red principal de Ethereum hacia la segunda capa (L2) Base, usando una wallet Safe:
“Perdí todos mis ahorros de toda la vida con un solo clic usando Safe anoche”.
Khalo, usuario de X, víctima del fallo en Ethereum.
Una wallet desactualizada y un error casi pierden 100 ETH
El caso, explicado por Schor, revela cómo un error en una versión antigua de una wallet Safe permitió que los fondos quedaran atrapados en una dirección inaccesible en la red de destino.
El usuario que en X se hace llamar khalo trató de mover 100 ETH desde la red principal de Ethereum hacia Base utilizando un puente, una herramienta que permite transferir activos entre dos cadenas distintas.
Los puentes funcionan como intermediarios que bloquean los activos en una cadena y generan un equivalente en la otra, un proceso que debería garantizar que el valor transferido se mantenga.
En este caso, khalo empleó una wallet Safe en su versión 1.1.1 de 2020, y, según explicó Schor, esa versión antigua carecía de un mecanismo de protección crucial: el control de dominios para despliegues multicadena.
Debido a esa limitación, otra persona pudo crear un monedero Safe con la misma dirección en la red Base antes de que khalo completara la transferencia.
Cuando los 100 ETH fueron enviados a través del puente, llegaron a esa dirección en Base, pero el usuario no tenía control sobre ella, ya que no era la wallet que él había configurado. Este fallo dejó los fondos perdidos, atrapados en una dirección gestionada por otra persona.
La recuperación de los fondos
Según Schor, el usuario contactó al equipo de soporte de Safe, quienes iniciaron un análisis del problema. Este análisis los llevó a Protofire, una empresa dedicada al desarrollo de soluciones “blockchain”, auditorías de seguridad y contratos inteligentes, especialmente en redes como Ethereum.
Protofire, según explicó Lukas Schor, ya había identificado esa vulnerabilidad en las wallets Safe de versiones antiguas, como la 1.1.1, que permitía a terceros crear monederos con direcciones idénticas en otras cadenas antes de que el usuario legítimo lo hiciera.
Conscientes de ese riesgo, Protofire había desplegado preventivamente direcciones en Base con un enfoque ético para bloquear posibles intentos de hackers maliciosos que podrían aprovechar esta falla para apoderarse de fondos atrapados.
Gracias a esta intervención preventiva, el equipo de Safe pudo contactar a Protofire y «apenas dos horas desde que se reportó el incidente», conforme a los dichos de Schor, lograron confirmar que los 100 ETH estaban en una wallet controlada por Protofire en Base. Posteriormente, los ETH fueron devueltos a khalo.
«¡Los fondos han sido recuperados!», exclamó en X khalo, tras el rescate de sus ETH (260.000 dólares).
Lecciones aprendidas y medidas preventivas
Para evitar que incidentes similares ocurran, Safe ha implementado modificaciones en sus versiones más recientes. A partir de la versión 1.3.0, esas wallets incluyen un mecanismo de separación de dominios que impide la creación de contratos con la misma dirección en diferentes cadenas, a menos que estén explícitamente autorizados por el propietario.
Esa actualización garantizaría que los usuarios no enfrenten el riesgo de perder fondos debido a colisiones de direcciones entre redes.
«Si estás usando una versión antigua de Safe, como la 1.1.1, considera migrar a una más reciente para aprovechar las mejoras de seguridad», escribió Schor en su publicación.
Este incidente que involucró a Safe, como en el ataque al exchange Bybit en el que fueron robados alrededor de 1.500 millones de dólares, pone de relieve tanto las vulnerabilidades de los puentes entre redes como la importancia de actualizar los softwares de wallets de autocustodia, así como la importancia de la educación en el uso de tecnologías con criptomonedas.
