Uso de exchanges centralizados por hackers de SafeMoon ayudaría a localizarlos
El proyecto de finanzas descentralizadas SafeMoon, que fue víctima de un exploit en marzo, lo que resultó en una pérdida neta de USD 8.9 millones en BNB (BNB), ha sido acusado por la Comisión de Bolsa y Valores (SEC) de Estados Unidos por violaciones de las normas de seguridad y fraude.
Los fondos asociados con el exploit han estado en movimiento a través de exchanges centralizados (CEXs), con la firma analítica blockchain Match Systems creyendo que las transferencias podrían llegar a ser críticas para las agencias de aplicación de la ley.
Sean Thornton, de Match Systems, dijo a Cointelegraph que sospecha que los CEX se utilizaron como un eslabón intermedio en la cadena de lavado de dinero:
“En los CEX, los fondos pueden cambiarse por otros tokens y retirarse posteriormente, y las cuentas de un CEX pueden registrarse para drops (personas ficticias). Teniendo en cuenta el hecho de que es casi imposible rastrear el movimiento de fondos a través de un CEX sin una solicitud de las fuerzas de seguridad, un CEX es una opción más preferible que un DEX [exchange descentralizado] para que un hacker gane tiempo y confunda los caminos”.
Match Systems llevó a cabo una autopsia del contrato inteligente de SafeMoon y el posterior movimiento de fondos para analizar el comportamiento de los explotadores. El análisis reveló que el hacker explotó una vulnerabilidad en el contrato de SafeMoon asociada a la función “Bridge Burn”, que permitía a cualquiera llamar a la función “burn” de los tokens de SafeMoon (SFM) en cualquier dirección. Estos atacantes utilizaron la vulnerabilidad para transferir tokens de otros usuarios a la dirección del desarrollador.
La transferencia realizada por los explotadores dio lugar al envío de 32,000 millones de tokens SFM desde la dirección del pool de liquidez de SafeMoon a la dirección del desarrollador de SafeMoon. Esto provocó un aumento instantáneo del valor de los tokens. El explotador utilizó la bomba de precios para cambiar algunos de los tokens SFM por BNB a un precio inflado. Como resultado, se transfirieron 27,380 BNB a la dirección del hacker.
Match System descubrió que la vulnerabilidad del contrato inteligente no estaba presente en la versión anterior y no apareció hasta la nueva actualización del 28 de marzo, el día del ataque, lo que llevó a muchos a pensar que se trataba de un intruso. Estas especulaciones cobraron más fuerza el 1 de noviembre, cuando la SEC presentó cargos contra el proyecto SafeMoon y tres de sus ejecutivos, acusándoles de cometer fraude y violar las leyes de valores.
Thornton dijo a Cointelegraph que las acusaciones de la SEC no son infundadas, y que también encontraron pruebas que podrían indicar la implicación de la dirección de SafeMoon en el hackeo que se produjo. Añadió que si esto se hizo intencionadamente o como resultado de la negligencia de los empleados será determinado por la aplicación de la ley.
La SEC alega que el CEO de SafeMoon, John Karony, y el director técnico, Thomas Smith, malversaron el dinero de los inversores y retiraron USD 200 millones en activos de la empresa. Los ejecutivos de SafeMoon también se enfrentan a cargos del Departamento de Justicia de EE.UU. por conspiración para cometer fraude electrónico, blanqueo de dinero y fraude de valores.
El hacker responsable del ataque afirmó inicialmente que había explotado por error el protocolo y quería establecer un canal de comunicación para devolver el 80% de los fondos. Desde entonces, los fondos vinculados a los exploits se han movido muchas veces a través de CEX como Binance, lo que, según la empresa de análisis, será fundamental para que las fuerzas de seguridad localicen a los autores del exploit.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.