Hackean otra web en el sector en auge de las carteras de criptomonedas tras lo que parece ser un secuestro de DNS.
Esta vez la víctima ha sido BlackWallet, cuyos usuarios han perdido unos 670.000 Stellar Lumens (XLMs), valorados en 425 mil dólares en el momento del robo, la tarde del 13 de enero.
Las primeras noticias de que algo iba mal surgieron en un post en Reddit del que supuestamente es administrador de la web:
BlackWallet ha sido atacado hoy, después de que alguien accediera a mi cuenta de mi hosting. Pido disculpa y espero que se puedan reintegrar el dinero.
Un experto en seguridad, que echó un vistazo a blackwallet.co antes de que lo cerraran, tuiteó:
El código inyectado en el secuestro del DNS de Blackwallet, si tenías más de 20 Lumens los envía a otra cartera
Los XLMs robados fueron desviados hacia la web de compra-venta de criptomonedas Bittrex donde muy posiblemente se han lavado en otras criptomonedas.
Una vez que los atacantes tuvieron el control sobre el dominio, poseían el control para manipular, monitorizar y redirigir a los usuarios, pero la pregunta importante es cómo pudieron llegar tan lejos.
La persona que afirma ser el administrador de BlackWallet dice que el atacante consiguió acceder a la cuenta de su proveedor de alojamiento web. Lo que pudo ocurrir de dos formas:
O los ciberdelincuentes consiguieron sus credenciales de acceso de algún modo remoto, o engañaron a su proveedor para que las cambiaran.
El supuesto administrador dice que está investigando junto a su proveedor todo lo relacionado con el atacante y que estudiará qué medidas tomar. Además sugiere que si has dado tu clave a BlackWallet posiblemente querrás mover tus fondos a una nueva cartera usando el visor de cuentas de Stellar.
Esto sugiere que pudo ocurrir un reseteado de cuentas, aunque posiblemente nunca se confirmará.
La defensa contra esto es identificar a la gente que dice poseer una cuenta utilizando una combinación de varios factores y realizando llamadas de teléfono a uno o varios números previamente registrados.
La falta de estas comprobaciones, y otras debilidades en la seguridad de credenciales, han producido una serie de ataques a billeteras de criptomonedas utilizando el DNS como una conveniente puerta trasera.
Solo para que os hagáis una idea, justo antes de Navidad, el Exchange EtherDelta también sufrió una apropiación del DNS, cuyas consecuencias aún no están claras.
Igualmente, en julio de 2017, los usuarios de Classic Ether Wallet perdieron su dinero supuestamente cuando unos ciberdelincuentes llamaron al proveedor de alojamiento web que estaba en Alemania haciéndose pasar por los dueños legítimos.
En 2016, el dominio blockchain.info fue comprometido por unas horas impidiendo el acceso a las carteras.
Las empresas de billeteras disponen de unas valiosas criptomonedas que están en el punto de mira de todos los ciberdelincuentes y los DNS es una manera simple de hacerse con ellas. Cualquiera en el sector ya está más que avisado.
A 19 de enero todavía no se puede acceder a BlackWallet.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: