Hechos clave:
-
Uno de los llaveros atacados habĂa recibido fondos desde 70 direcciones por 100 BTC cada una.
-
El informe deja abierta la posibilidad de complicidad interna en el ataque.
La firma ucraniana de ciberseguridad Haken, publicĂł su análisis del reciente ataque cibernĂ©tico a la casa de cambio Binance, donde deja ver que el hackeo podrĂa haberse realizado de forma manual. El informe fue publicado por CEO de la empresa, Dmitriy Budorin, a travĂ©s de su cuenta en la red social Twitter.
Binance reportĂł este martes 7 de mayo una violaciĂłn de seguridad, que permitiĂł a ciberpiratas sustraer 7.074,19 BTC de monederos calientes (conectados a Internet) de la plataforma. Por el momento, la startup mantiene suspendidas las operaciones de retiro y depĂłsito, hasta completar los análisis y auditorĂas correspondientes.
El reporte de Haken señala que, tanto las declaraciones públicas de Binance como el análisis la cadena de bloques de Bitcoin, evidencian que los atacantes estaban en conocimiento de los flujos de fondos y el balance de las dos carteras vulneradas. Según la investigación, los fondos robados provienen de 71 direcciones de usuario, de las cuales 70 aportaron el monto máximo posible de 100 BTC cada una, a uno de los monederos atacados. Otra dirección aportó el monto restante (74,19 BTC) a la segunda cartera que resultó comprometida en el ataque.
El atacante usĂł 44 carteras para transferir los fondos robados, de las cuales 20 fueron creadas para el evento. Las nuevas carteras recibieron la mayor parte de los BTC extraĂdos de Binance, un total de 7.070 BTC. El resto (3,22 BTC) se distribuyĂł en 24 monederos preexistentes.
Mediante una revisiĂłn de los movimientos histĂłricos de fondos en BTC de Binance, la firma de ciberseguridad determinĂł que existe un tope de retiro de 2.000 BTC. Este fue el monto máximo movilizado durante los Ăşltimos seis meses de las diferentes carteras de la plataforma. Cada vez que se evidenciĂł una transacciĂłn por encima del tope, Ă©sta fue manejada manualmente, y generalmente se hizo desde carteras frĂas, concluyĂł el informe. Esta conclusiĂłn hace probable que un retiro superior a 7.000 BTC, se harĂa tambiĂ©n de forma manual.
El informe menciona que los posibles vectores del ataque aprovechados en el caso de los usuarios, podrĂan ser el acceso a informaciĂłn de las cuentas, incluyendo los correos electrĂłnicos de los usuarios. Asimismo, la aplicaciĂłn de la metodologĂa de bypass de 2FA (verificaciĂłn de 2 factores), la cual tendrĂa que hacerse individualmente para cada una de las 70 direcciones de usuario que aportaron fondos.
Por otra parte, en cuanto a los vectores aprovechables en la plataforma, el hacker pudo haber tenido acceso a las bases de datos de inicio de sesiĂłn y contraseña de Binance, asĂ como a base de datos de una sola vez (OTP). En este caso, los atacantes se enfocarĂan en las cuentas ejecutivas de Binance, con acceso a las llaves privadas de los monederos de clientes.
El informe no descarta un posible trabajo interno, aunque dice que espera que no haya sido el caso. Deja abierta la posibilidad de una filtraciĂłn de datos no intencional o un trabajo interno de terceros. No obstante, se puntualizĂł que cualquier integrante de la startup estarĂa en conocimiento de la complejidad de hacer uso de los fondos robados.
El CEO de Binance, Changpeng Zhao, reconoció que se trata de un buen reporte. Según señaló Dmitriy Budorin, se mantendrán vigilantes de los movimientos en la blockchain de Bitcoin, y esperan publicar un informe más detallado más adelante.