Roban 600 millones de dólares en criptomonedas de Poly Networks y devuelven una parte

¿Te acuerdas de Mt. Gox? ¡Seguro que sí!

Aunque generalmente se dice en voz alta como “Mount Gox”, como si fuera un monte, en realidad el origen del nombre viene de MTGOX, abreviatura de “Magic: The Gathering Online Exchange”, donde los fan de MTG podían intercambiar cartas a través de Internet.

El dominio web finalmente se reutilizó para lo que fue, en 2014, el mayor mercado de criptomonedas del mundo.

Mt. Gox tenía su sede en Japón, y en aquellos momentos sus clientes tenían depositados 500.000.000 $ en bitcoins (BTC) en su sistema.

Y entonces sucedió algo extraño: el dinero, o al menos los bitcoins, desaparecieron. Nunca supimos realmente lo que sucedió.

Las primeras sugerencias culparon a una falla criptográfica conocida como maleabilidad de la transacción, pero los escépticos argumentaron que este tipo de ataque, incluso si fuera posible en una escala tan épica, sería visible en el registro de transacciones de Bitcoin, también conocido como blockchain.

En pocas palabras, la maleabilidad de las transacciones significa que dos transacciones diferentes pueden manipularse para que tengan el mismo identificador supuestamente único. Los operadores corruptos podrían, en teoría, inventar fraudulentamente pares de transacciones duplicados pero diferentes, y usar estas transacciones para engañar a un usuario haciéndole creer que algo salió mal. Los ciberdelincuentes podrían repudiar deshonestamente una de las transacciones en cada par y exigir un reembolso.

Algunas personas sospechaban que Mt. Gox fueron los responsables del robo.

De hecho, el día de Año Nuevo de 2015, el periódico japonés Yomiuri Shimbun publicó que existía una “fuerte sospecha” de que la mayoría de los bitcoins perdidos fueron estafados desde adentro.

La opinión de Yomiuri Shimbun era que no más del 1% de la pérdida podría explicarse por ataques externos o ciberscamming, por ejemplo, debido a trucos de maleabilidad de transacciones, y por lo tanto, el 99% del botín simplemente había sido saqueado desde adentro.

Curiosamente, el fundador de Mt. Gox, Mark Karpelès, fue arrestado y, finalmente, recibió una sentencia de prisión suspendida en Japón, pero no por los bitcoins faltantes: fue declarado culpable de tergiversar el valor de su empresa para que pareciera una mejor inversión.

Aún más extraño, los abogados de Ross Ulbricht, que actualmente cumplen dos cadenas perpetuas en los EEUU por gestionar Silk Road en la web oscura, argumentaron, sin éxito, dado que su cliente fue condenado, que era Karpelès, no Ulbricht, quien estaba detrás del famoso sitio web.

Y en lo que puede ser el suceso de criptomonedas más extraño, un agente federal del Servicio Secreto de EEUU, Shaun Bridges, que investigó el caso de Silk Road, fue condenado por robar varios cientos de miles de dólares en bitcoins desde el sitio de Silk Road.

Bridges (probablemente ya lo hayas adivinado) escondió sus ganancias en Mt. Gox.

Cambia todo para que nada cambie

Bueno, ahora estamos en medio de otro episodio de la saga “La verdad sobre las criptomonedas es más extraña que la ficción”.

La empresa de blockchain online Poly Networks, que se describe a sí misma como una empresa que fue “construida para implementar la interoperabilidad entre múltiples blockchains con el fin de construir la infraestructura de Internet de próxima generación”, ha sido atacada.

Un blockchain, en pocas palabras, es un libro de contabilidad público que enumera detalles como pagos financieros o acuerdos contractuales.

Un contrato podría ser algún tipo de algoritmo como “cuando Juan me envíe los  50 $ que me debe, automáticamente le pagaré 20 $ a María, le enviaré 15 $ a Pablo y guardaré el resto en mi billetera de criptomonedas”.

Una transacción puede registrar que “la billetera B457F ha transferido 30 $ a la billetera 7EE19, con 4,50 $ de tarifas por la transacción reclamadas a B457F por la billetera 1445A”.

Como puedes imaginar, un ciberdelincuente que pudiera introducir contratos y transferencias fraudulentas en un sistema de este tipo podría causar estragos, por ejemplo, activando una serie de pagos automatizados a sus propias carteras de criptomonedas y luego huyendo con las ganancias.

Y eso es exactamente lo que parece haberle sucedido a Poly Networks, aparentemente por una suma de 600.000.000 $, rompiendo el record de Mt. Gox por unos 100 millones de dolares.

¿Qué sucedió?

Aún no se sabe con certeza cómo ocurrió el ataque.

Algunos informes atribuyen el ataque a “claves privadas robadas”, lo que básicamente implica que el atacante consiguió los códigos de autenticación necesarios para aprobar toda una serie de actividades fraudulentas.

El usuario de Twitter @kelvinfichter, afirma haber identificado varios errores criptográficos en el protocolo de transacciones de Poly Network.

https://twitter.com/kelvinfichter/status/1425233293545459712

Fichter dice que este error le habría permitido a un ciberdelincuente poner en marcha transacciones fraudulentas utilizando pares de claves criptográficas que él mismo habría creado.

Eso es un poco como comparecer ante la justicia siendo tu abogado defensor no solo quien te defiende ante el tribunal, sino que también actúa como juez y jurado para decidir si te absuelven.

¿Quieres que te devuelva el dinero?

Sorprendentemente, el ciberdelincuente decidió enviar una nota a Poly Networks.

Y qué mejor manera de hacerlo que generar una transacción pública sin valor, pero con algunos datos añadidos:

El campo de datos de entrada anterior, 52454144 5920544f 20524554 55524e20 54484520 46554e44 21, es la codificación ASCII del mensaje:

¡LISTO PARA DEVOLVER LOS FONDOS!

Seguido un minuto después por otro mensaje oculto:

Esta vez, los datos hexadecimales se decodifican como:

FALLO AL CONTACTAR CON POLY.

NECESITO UNA CARTERA MULTISIG ASEGURADA

Poly Networks contestó de la siguiente manera:

Por lo que podemos ver [2021-08-11T15: 00Z], la cuenta ETH anterior solo ha recibido alrededor de 3.000 $ hasta ahora.

Pero la billetera Polygon ha recaudado 1.010.100 $.

Ese número “binario” es aparentemente el resultado de tres transacciones primero de 100 $, luego 10.000 $ y otra de 1.000.000 $:

Actualización: Se devolvieron otros 84 millones de dólares a través de esta billetera aproximadamente a las 2021-08-12T20: 00Z. La dirección de BSC que aparece en el tuit de Poly Networks anterior parece haber recibido poco más de 250 millones de dólares. [2021-08-12T00: 45Z]

Según otros informes, Poly Networks también ha recibido un reembolso de 622.000 $ en una criptomoneda conocida como Fei, y la friolera de 260 billones de criptomonedas SHIBA INU.

Por más dramático que pueda parecer el último “reembolso”, el tipo de cambio actual de SHIBA INU es de unos 125.000 SHIB por dólar estadounidense, suponiendo que puedas encontrar a alguien que los retire en moneda fuerte, por lo que el valor nominal es de unos 2.000.000 $.

Como en el caso de Mt. Gox, es posible que nunca descubramos la verdad completa de lo que ha sucedido.

Es posible que Poly Networks nunca recupere todos los fondos y, solo podemos especular sobre cuanto perderán sus clientes.

Quizás el atacante o atacantes eventualmente devuelvan todas, o al menos la mayoría, de las criptomonedas que desaparecieron.

Sólo el tiempo dirá.

¿Qué hacer?

Mientras tanto, te dejamos dos sugerencias:

• Si estás pensando en entrar en el mundo de las criptomonedas, nunca inviertas más de lo que puedes permitirte perder. Actualmente existen más de 10.000 criptomonedas diferentes, muchas de las cuales fueron iniciadas por inyecciones de efectivo de los primeros inversores. No todas las criptomonedas pueden o seguirán el patrón de Bitcoin de pasar de unos pocos centavos en valor en 2010 a 40.000 $ en 2021. Peor aún, algunas son estafas en las que los “creadores” de la criptomoneda recolectan fondos de inicio de los primeros inversores en lo que se conoce como ICO (oferta inicial de monedas), solo para salir corriendo sin crear la nueva criptomoneda en absoluto.
• Si planeas invertir en criptomonedas, mantén la mayor cantidad de cosas que puedas sin conexión en lo que se conoce como billetera fría. Una billetera fría es un archivo cifrado que otras personas no pueden usarlo a menos que conozcan tu contraseña.