Búsqueda de Ciberamenazas

Harmony blockchain pierde casi 100 millones de dólares por el hackeo de claves privadas

Otro día, otro ataque Fi-De (finanzas descentralizadas). Esta vez, la compañía de contratos inteligentes online Harmony, que se presenta como una “cadena de bloques abierta y rápida”, le han robado más de 80.000.000 $ en criptomonedas Ether.

Sorprendentemente (o como era de esperar, dependiendo del punto de vista), si visitas la web de Harmony, probablemente no te darás cuenta de la pérdida masiva que acaba de sufrir el negocio. Incluso el blog oficial de la empresa no lo menciona.

El artículo de blog más reciente data de principios de 2022 y se titula Lost Funds Investigation Report. Desafortunadamente, esos fondos perdidos no son estos fondos perdidos.

Aparentemente, a principios de año, esos fondos perdidos ocurrieron cuando cinco personas fueron estafadas por una suma de poco más de 19 millones de tokens ONE de Harmony, que aparentemente valían alrededor de 25 centavos de dólar cada uno.

Harmony hizo una oferta, el 4 de enero de 2022, indicando que:

Deseamos brindarle al sospechoso la oportunidad de comunicarse con Harmony Foundation y devolver todos los fondos. Harmony no emprenderá más acciones legales ni difundirá su identidad siempre que recibamos la plena cooperación. El equipo le ofrecerá una recompensa por revelar cómo se realizó este robo, siempre que se pueda validar.

No estamos seguros de si es legal que una empresa se ofrezca a reescribir la historia para fingir que un hackeo no autorizado y probablemente ilegal fue en realidad una investigación legítima, aunque pareció funcionar en el ataque a Poly Networks por valor de 600 millones de dólares.

El perpetrador en ese caso hizo una ráfaga de curiosos anuncios pseudopolíticos de blockchain TODO EN MAYÚSCULAS, escritos en un mal inglés, para afirmar que el dinero no fue el motivador detrás del crimen.

En última instancia, después de ganarse el favor del cracker al adoptar el apodo de Mr White Hat, Poly Networks (para asombro de muchas personas, incluida la nuestra) recuperó la mayor parte de sus fondos.

Tampoco estamos seguros del grado de protección contra el procesamiento que puede proporcionar cualquier oferta de la víctima de no “presentar cargos”, dado que en muchos países es el Estado el que suele tomar la decisión de investigar, acusar y enjuiciar a los sospechosos de delitos penales.

Sin embargo, el inesperado éxito de Poly Networks al recuperar más de 500 millones de dólares ha animado a otras empresas de criptomonedas a intentar este enfoque de “borrón y cuenta nueva”, presumiblemente con el argumento de que a menudo no hay mucho más que puedan hacer.

Pero no parece funcionar muy a menudo.

Desde luego, no parecía funcionar en el caso de Harmony en enero de 2022, aunque si el autor aún no ha podido cobrar sus ganancias ilícitas, es posible que se arrepienta de no haber aceptado la oferta.

El 15 de enero de 2022, cuando expiró la falsa “oferta de recompensa por errores” de Harmony, los tokens ONE alcanzaron un máximo de 0,35 dólares, pero desde entonces se han hundido por debajo de los 2,5 céntimos cada uno, según CoinGecko.

Una vez más la no-brecha

Eso no ha impedido que Harmony intente el enfoque revisionista histórico basado en la recompensa de errores una vez más, poniéndose en contacto con el hacker de junio de 2022 a través de la blockchain de Ether para decir:

El equipo de Harmony está interesado en comunicarse y negociar.

Por favor, contacta con security@harmony.one para iniciar una conversación.

La comunicación puede ser anónima.

ID: 0xc8f0dbe83ef36ab59c1fd57099d5ed98c65ff71d0cc69d0084ca570ee26141bb

Desde entonces, otros numerosos charlatanes, bromistas y criptocomentaristas se han subido también a la blockchain para decir…

La tecnología es la principal fuerza productiva, increíble,

gran dios, espero que puedas darme algunos tokens,

te deseo buena suerte y que te vaya bien

ID: x337edbfeb3c6aba36b02e90015be51f0057995eebbe6d8d1f26205ed8449d19c

 

1 para bendecirte

6 para estresarte

ID: 0x08b7f4914dab2170cdc2ed2cc9760c8478bb3652670cb2fe16f5302c3ad98701

 

Hola, creo que tus habilidades son muy buenas y te admiro mucho.

Me he enterado de que te están investigando. Te deseo buena suerte.

Además, ¿puedes enviarme un poco de et si puedes?

Soy un hombre pobre con una familia que mantener y mis hijos son todavía pequeños,

muchas gracias, que Dios le bendiga

ID: 0x505e8914fd0e926e53ef85ba78b7a4e73db564f36fa62a3585383f7cd33be2c8

 

大哥,给我发1个eth,我感谢你呀,大佬呀,你试大佬啊,你真的是大佬

(Hermano, envíame 1 eth. Te lo agradezco, hermano. ¡Realmente eres mi hermano!)

ID: 0x14ced8b1ec700ce93413e3e537c75beffd7846a68bbda53cabb5cf641296a02e

 

Te quiero, ¿quieres tener e-sex conmigo?

ID: 0x77dfa12c1d21d7385764d48a72c075c12a1ccd843457e4e364e2a7249fbe9cff

En caso de que te lo estés preguntando, el hacker o los hackers parecen haberse hecho con al menos los siguientes fondos, con los valores en dólares que aparecen a continuación calculados en base a una tasa de ETH1 = 1100 dólares (la tasa en el momento de escribir este artículo [2022-06-27T17:50Z] está en realidad más cerca de 1200 dólares que de 1100):

ETH total IN    Approx value    Transaction ID
--------------  --------------  ------------------------------------------------------------------
ETH  4,570.000   $5,027,000.00  0xb4d60d5161b8508098d9c21834377eaded6b8668d205dfe4bfa7b6dd30f7a192
ETH  3,899.000   $4,288,900.00  0x9cdf447483508d632c5531c5dac8ed31486c0f054c0004bc80a9e07521b3d506
ETH  7,077.000   $7,784,700.00  0xb1d78f2eeea53f1624eea3020409d47c55c868ecf3e0f896e672d04f23fac007
ETH  9,850.000  $10,835,000.00  0x9eced2a4fbc3d95a8ea1a10dd4215b6bf7cbc633d06405e9f052a35f11c59f69
ETH  4,439.000   $4,882,900.00  0x4cceded4cce367631ab6cc11288bd0840d9f9a537b982e1b903205f274fc38a4
ETH  4,431.000   $4,874,100.00  0x9cd567022752e35be9bb429e030a28efad63bcd86ffb3c48ac661c5f966e7aab
ETH  7,990.000   $8,789,000.00  0xdd37bafa2b0941df21e5c5f97558462b394a6013f756954700060ccd354f7eb2
ETH  5,380.000   $5,918,000.00  0xc8382891f4c60c86e5485816a3d79dc5a96b77ad1538b3eb1ee747f7cc18bc46
ETH 14,190.000  $15,609,000.00  0x8447ae8f9367d2f9217355065f620c4e099bfe0ecb4db0e94eb2b32246c859c7
ETH  4,965.000   $5,461,500.00  0x6650ff5c97a026258a25f9e8b15f77f68f34f6f9d5fd39b28bcce316f3b8ef87
ETH  4,919.000   $5,410,900.00  0x02a9727da800d2bb2000f346b28e925d3fffcd88f4ec2e5c0df6753dc8873139
ETH     43.394      $47,733.49  0x3eb9dd782d1c80b292c068ad657f444cba842e6757d1f3b4190c79d7651164b2
ETH    911.000   $1,002,100.00  0x134baf1e5da1ad9f2c99cad48149ac629fdf51cb44a14370756dc02c06510b99
ETH     75.000      $82,500.00  0x62a0a9f6a3ce55f7af494a0e8735a2ba00c5f30cc7b662b899db91099a3dfe60
ETH     30.000      $33,000.00  0x31b5e79ea63ffe4cc00521ec5d2224953ee0ce0cc7cf2284063c02dd494d1e15
--------------  -------------- 
ETH 72,769.394  $80,046,333.49

Hoy mismo, a pesar de que Harmony ofrece una “recompensa” de 1.000.000 de dólares y dice que “abogará por no presentar cargos penales”…

…el atacante parece haber pagado una parte sustancial de los mencionados ETH 72.769 a una cuenta que no parece estar conectada con Harmony, o al menos no está siendo reclamada por Harmony:

ETH total OUT   Approx value    Transaction ID
--------------  --------------  ------------------------------------------------------------------
ETH 18,036.300  $19,839,930.00  0x2f259dec682ccd6517c09b771d6edb439f1925e87b562a72649a708fdd0511e1

Al menos un cliente, aparentemente en pánico, ha llegado a decir con más desesperación y elocuencia que algunos de los otros comentaristas:

¡CHICA! ¿NO TE ENSEÑÓ TU MADRE A NO TENER MODALES?

QUÉ ES EL ENVÍO 7m SOLO.

SOLO ENVIANOS ALGO HAZNOS SABER

QUE ESTAS TOMANDO EL CAMINO CORRECTO.

OHH VEO ASÍ QUE AHORA TIENES 97m EN EL ETER Y

SOLO TE QUITAS UN POCO DE ESA CREMA.

BIEN BISH SE VE BIEN QUE REGRESE QUE 97M

Y EL EQUIPO DE HARMONY TIENE QUE RESPETAR ESO,

3 UN NÚMERO MÁGICO Y TODA ESA MIERDA.

NO HE DORMIDO DURANTE DÍAS,

¡¡¡¡DANOS UNA SEÑAL BISH, CUALQUIER COSA!!!!

ID: 0x3db5cd2270c27808d282a3efccd33342da69312ba07561e2a11a6f1716b0b259

¿Qué ha pasado?

El informe de Harmony sugiere que el atacante o los atacantes llevaron a cabo este robo a pesar  que las transacciones fraudulentas requerían múltiples firmantes y cada uno de ellos tenía su clave privada dividida entre dos ubicaciones de almacenamiento, una local y otra en un servidor de claves.

Por desgracia, parece que aunque el proceso de “multisig” en este caso requería que dos de las cinco partes de confianza firmaran conjuntamente, los atacantes pudieron comprometer dos de las cinco claves privadas necesarias.

Al parecer, Harmony ha decidido exigir que cuatro de las cinco partes de confianza firmen conjuntamente, aunque se podría argumentar que, dado que dos de las cinco ya han demostrado su falta de fiabilidad, eso equivale a restablecer el statu quo de exigir “dos partes de confianza”.

Además, lo que Harmony no ha revelado (y puede que ni siquiera lo sepa todavía) es si hubo una razón común para el compromiso de las dos claves privadas que llevó a las transferencias no autorizadas.

Después de todo, no tiene sentido tener una autenticación de N factores en la que N > 1 si hay un punto de fallo común entre todos los N factores.

Por ejemplo, si tienes ordenadores portátiles con discos duros protegidos tanto por contraseñas de arranque como por secuencias de códigos de un solo uso generadas por un teléfono móvil, tienes efectivamente 3FA, de modo que un atacante necesita: poseer el ordenador portátil; conocer la contraseña; y ser capaz de desbloquear el teléfono del usuario o recuperar la secuencia de códigos.

Pero si hay un usuario que escribe su contraseña y su código de autenticación en una etiqueta adhesiva y la pega en la parte inferior de su portátil, entonces vuelves a tener 1FA: toda la seguridad recae en la posesión del propio portátil.

No seas ese usuario.

Y tampoco dejes que ninguno de tus amigos o colegas sean ese usuario…