El hackeo de KuCoin desempacado: Posiblemente fueron robadas más criptomonedas de lo que se temía en un principio
Los ciberdelincuentes han seguido creando nuevos e innovadores vectores de ataque de los que siguen siendo presa muchas plataformas de criptomonedas importantes. Por ejemplo, Johnny Lyu, el director general de la empresa de intercambio de criptomoneda KuCoin, con sede en Singapur, declaró el 26 de septiembre que el exchange había sido objeto de un importante hackeo que había afectado a las Hot Wallets de la empresa en donde almacenaban Bitcoin (BTC), Ether (ETH) y tokens ERC-20. Comentando sobre el hackeo, Charlie Cai, el gerente de medios de KuCoin, dijo a Cointelegraph:
“Tras el incidente, KuCoin está actuando de forma rápida y transparente para afrontarlo. Estamos haciendo todo lo posible para mitigar el impacto del incidente trabajando con muchos proyectos Blockchain, empresas de seguridad y exchanges de criptomonedas”.
En total, se estima que KuCoin perdió más de 200 millones de dólares en fondos de clientes. Sin embargo, a pesar del fallo de seguridad, el precio de la mayoría de los criptomonedas de primera clase, así como de los tokens DeFi, apenas mostraron ninguna acción negativa a pesar de que los grandes hackeos, como éste, han dado lugar tradicionalmente a ventas en todo el mercado.
En un frente más técnico, Cai destacó que un total de 130 millones de los tokens digitales robados ya habían sido aseguradas o estaban en proceso de ser recuperadas por el equipo de seguridad de KuCoin. A este respecto, Cai declaró además que Tether (USDT) había congelado con éxito un total de 22 millones de stablecoins USDT que estaban comprometidas mientras que Velo Labs, también, anunció que redistribuirá y reemplazará cada una de los tokens de VELO que fueron transferidas como parte del hackeo. Añadió: “Los 122 millones de tokens de VELO (unos 75,7 millones de dólares) que fueron afectados serán invalidados“.
De manera similar, algunos de los otros tokens que la compañía afirma haber obtenido desde que el asunto se hizo público incluyen el Silent Notary (SNTR), Covesting (COV), Protocolo de Orión (ORN), KardiaChain (KAI), Red NOIA (NOIA) y Opacidad (OPQ).
Banderas rojas abordadas por KuCoin
A principios de marzo de este año, KuCoin se vio envuelto en una serie de controversias. El exchange se enfrentaba a la posibilidad de una demanda colectiva que afirmaba que KuCoin proporcionaba a sus clientes “declaraciones falsas y/o engañosas”. Del mismo modo, como parte de otra demanda – Chase Williams contra KuCoin – se alegó que el exchange estaba negociando valores sin licencia, lo cual es ilegal.
Además, alrededor del mismo período, el equipo de KuCoin anunció al mundo que se sometería a una reestructuración corporativa masiva que vio a la empresa cambiar su marca comercial de una entidad registrada en Seychelles a otra jurisdiccion. No sólo eso, sino que la empresa también nombró un nuevo director que anteriormente no tenía un papel importante en el exchange. Mientras tanto, todavía no está claro dónde está exactamente la sede real de KuCoin.
Basándose en las conclusiones mencionadas, la gente ha empezado a cuestionar la legitimidad de las operaciones de KuCoin, y algunos incluso han llegado a decir que la plataforma podría ser una gran estafa de salida. Para abordar estas preocupaciones, Cai declaró: “KuCoin es una plataforma genuina respaldada por famosos fondos de inversión. Ya en 2018, obtuvimos una inversión de 20 millones de dólares de IDG y Matrix Partners. IDG es muy ‘quisquilloso’ cuando invierte en exchanges de criptomonedas“.
A continuación, Cai procedió a destacar los flujos de efectivo de KuCoin, afirmando que sólo en agosto de 2020, 13.350 millones de dólares se negociaron a través de la plataforma de operaciones al contado de la empresa, mientras que 13.510 millones de dólares se negociaron en la plataforma de futuros de KuCoin.
Los expertos en seguridad opinan sobre el asunto
Para obtener una visión más holística de toda la situación, Cointelegraph se puso en contacto con John Jefferies, el analista financiero jefe de CipherTrace, una empresa de seguridad centrada en criptomonedas. Señaló que la mayoría de las criptomonedas robadas de KuCoin eran tokens ERC-20 que pueden ser fácilmente lavados a través de protocolos DeFi.
Además, cabe señalar que tras el hackeo de KuCoin, el malhechor procedió a transferir miles de dólares de tokens de red Synthetix (SNX) a Uniswap, el mayor exchange descentralizado por valor total bloqueado. Se estima que los hackers transfirieron al menos 1,2 millones de dólares en tokens de SNX a través de cuatro transacciones separadas. Sobre el tema, Jefferies declaró:
“Este fue el primer caso en el que vemos a un DEX de alto perfil, como Uniswap, siendo usado como mezclador de dinero. A diferencia de los exchanges centralizados, un DEX no puede congelar fondos – sólo proyectos específicos pueden. Otro impacto significativo aquí es que el robo de las tokens impactó directamente a las empresas de estos tokens robados, como Crypterium y Tether porque el hackeo incluía tokens CRPT y Tether en las Blockchains EOS y Ethereum”.
Madeleine Kennedy, directora senior de comunicaciones de Chainalysis – una compañía global de análisis de criptomoneda – señaló que su firma ha encontrado que más de 275 millones de dólares en fondos en criptomonedas han sido muy probablemente comprometidos, lo que hace que este sea uno de los mayores hackeos de un exchange de criptomoneda en la historia registrado. Además, Chainalysis anunció que estaba expandiendo su presencia a través de la región del Asía-Pacifico después del hackeo.
Proporcionando su opinión sobre cómo exactamente los hackers fueron capaces de facilitar con éxito esta operación, Kennedy señaló que intentaron intercambiar tantos tokens ERC-20 como fuera posible en los exchanges descentralizados antes de que los fondos fueran congelados por los contratos inteligentes o bifurcados para revertir las transacciones:
“Algunos fondos se depositaron en los exchanges, otros en servicios de intercambio de monedas y otros más en DEX, pero gran parte de los fondos siguen sin gastarse. Las direcciones relevantes están etiquetadas en Chainalysis Reactor, KYT y Kryptos, y seguimos vigilando sus movimientos”.
¿Una actitud relajada?
A pesar de los grandes avances que han hecho los investigadores de seguridad cripto en los últimos años, plataformas como la de KuCoin siguen siendo víctimas de este tipo de ataques. Sin embargo, este último hackeo plantea una preocupación, ya que algunos pueden cuestionar si la industria de las criptomonedas está haciendo lo suficiente para protegerse a sí misma.
Jefferies señaló que, tal como están las cosas, sólo los mayores exchanges del mundo tienen la madurez en materia de seguridad de las instituciones financieras tradicionales, que suelen estar sujetas a normas de seguridad y auditorías. A este respecto, cree firmemente que hasta que los proveedores de servicios de activos virtuales más pequeños no sean capaces de mostrar el mismo nivel de rigor que sus homólogos de los servicios financieros, no sería raro que se produjeran este tipo de incidentes. Elucidando sus pensamientos sobre el asunto:
“Los proveedores de servicios de activos virtuales (VASP, por sus siglas en inglés) de confianza como Bitgo y Coinbase han sido sometidos a la agotadora auditoría del System and Organization Control, SOC2, que incluye seguridad, confidencialidad, integridad de procesamiento, privacidad y disponibilidad”.
Cabe mencionar que en el transcurso de los últimos años, la industria de la seguridad ha desarrollado varios estándares de seguridad para permitir a los clientes decidir a quién confiar sus activos. Los procedimientos de auditoría, como el SOC2 y la ISO 27001, proporcionan una rigurosa validación externa de las tecnologías y procesos. Binance y Crypto.com, por ejemplo, afirman adoptar la ISO 27001.
Sobre el tema, Dyma Budorin, cofundadora y directora general de Hacken – una empresa de ciberseguridad orientada a las criptomonedas – dijo a Cointelegraph que la mayoría de los exchanges actuales son como cajas negras, es decir, nadie sabe cómo se gestionan sus claves privadas: “Sólo unos pocos exchanges de criptomonedas como Kraken, Gemini y Binance están invirtiendo mucho dinero para probar los controles internos adecuados sobre sus protocolos de gestión de claves privadas personales“.
Una opinión similar es compartida por Tom Albright, el CEO de Bittrex Global – un exchange de criptomonedas – que cree que demasiados exchanges en estos días tratan la seguridad como un inconveniente, añadiendo:
“A medida que más y más inversionistas convencionales se involucren en las criptomonedas, habrá más participantes vulnerables en el ecosistema, y los exchanges tienen que hacer aún más para proteger a estos clientes y ayudarlos a protegerse a sí mismos”.
Sigue leyendo: