Hechos clave:
-
Uno de los llaveros atacados había recibido fondos desde 70 direcciones por 100 BTC cada una.
-
El informe deja abierta la posibilidad de complicidad interna en el ataque.
La firma ucraniana de ciberseguridad Haken, publicó su análisis del reciente ataque cibernético a la casa de cambio Binance, donde deja ver que el hackeo podría haberse realizado de forma manual. El informe fue publicado por CEO de la empresa, Dmitriy Budorin, a través de su cuenta en la red social Twitter.
Binance reportó este martes 7 de mayo una violación de seguridad, que permitió a ciberpiratas sustraer 7.074,19 BTC de monederos calientes (conectados a Internet) de la plataforma. Por el momento, la startup mantiene suspendidas las operaciones de retiro y depósito, hasta completar los análisis y auditorías correspondientes.
El reporte de Haken señala que, tanto las declaraciones públicas de Binance como el análisis la cadena de bloques de Bitcoin, evidencian que los atacantes estaban en conocimiento de los flujos de fondos y el balance de las dos carteras vulneradas. Según la investigación, los fondos robados provienen de 71 direcciones de usuario, de las cuales 70 aportaron el monto máximo posible de 100 BTC cada una, a uno de los monederos atacados. Otra dirección aportó el monto restante (74,19 BTC) a la segunda cartera que resultó comprometida en el ataque.
El atacante usó 44 carteras para transferir los fondos robados, de las cuales 20 fueron creadas para el evento. Las nuevas carteras recibieron la mayor parte de los BTC extraídos de Binance, un total de 7.070 BTC. El resto (3,22 BTC) se distribuyó en 24 monederos preexistentes.
Mediante una revisión de los movimientos históricos de fondos en BTC de Binance, la firma de ciberseguridad determinó que existe un tope de retiro de 2.000 BTC. Este fue el monto máximo movilizado durante los últimos seis meses de las diferentes carteras de la plataforma. Cada vez que se evidenció una transacción por encima del tope, ésta fue manejada manualmente, y generalmente se hizo desde carteras frías, concluyó el informe. Esta conclusión hace probable que un retiro superior a 7.000 BTC, se haría también de forma manual.
El informe menciona que los posibles vectores del ataque aprovechados en el caso de los usuarios, podrían ser el acceso a información de las cuentas, incluyendo los correos electrónicos de los usuarios. Asimismo, la aplicación de la metodología de bypass de 2FA (verificación de 2 factores), la cual tendría que hacerse individualmente para cada una de las 70 direcciones de usuario que aportaron fondos.
Por otra parte, en cuanto a los vectores aprovechables en la plataforma, el hacker pudo haber tenido acceso a las bases de datos de inicio de sesión y contraseña de Binance, así como a base de datos de una sola vez (OTP). En este caso, los atacantes se enfocarían en las cuentas ejecutivas de Binance, con acceso a las llaves privadas de los monederos de clientes.
El informe no descarta un posible trabajo interno, aunque dice que espera que no haya sido el caso. Deja abierta la posibilidad de una filtración de datos no intencional o un trabajo interno de terceros. No obstante, se puntualizó que cualquier integrante de la startup estaría en conocimiento de la complejidad de hacer uso de los fondos robados.
El CEO de Binance, Changpeng Zhao, reconoció que se trata de un buen reporte. Según señaló Dmitriy Budorin, se mantendrán vigilantes de los movimientos en la blockchain de Bitcoin, y esperan publicar un informe más detallado más adelante.
