Las criptomonedas son el depósito de valor preferido por miles de personas a día de hoy. El hecho de que no puedan ser controladas por gobiernos o ninguna entidad centralizada es una de las razones que anima a mucha gente a empezar a usarlas. Pero, lejos de ser perfectas, las criptomonedas y las plataformas que las manejan presentan algunos fallos de seguridad a día de hoy.

Estos errores se han hecho notar en 2022, dado que se han robado criptomonedas por valor de más de mil millones de euros en estos primeros siete meses del año. En unos momentos descubrirás cuáles han sido los 3 mayores hackeos de este 2022 (por ahora), y cuánto se han llevado los ladrones.

1. Marzo 2022 – Robo a Ronin (Axie Infinity)

El hackeo más grande del año se sitúa en un juego “play to earn”, Axie Infinity. Los hackers se hicieron con aproximadamente 620 millones de dólares en criptomonedas a través Ronin, una red utilizada para procesar las transacciones del juego mencionado anteriormente.

La compañía anunció el hackeo en un blog, y reveló posteriormente que una investigación en curso sugiere que el ataque fue de «ingeniería social» y no debido a un fallo técnico.

La red Ronin sirve de puente entre Axie Infinity y Ethereum y se utiliza para realizar transacciones y transferir criptomonedas dentro y fuera del juego. La magnitud del robo lo convierte en el segundo mayor atraco de criptomonedas de toda la historia, según la empresa de análisis de blockchain Elliptic.

En números de criptomonedas, los atacantes se hicieron con 173.600 ether y 25,5 millones de monedas usd, según la publicación del blog de Ronin. El ataque también se confirmó en la página de Twitter de Axie Infinity. Ronin dijo en su blog que está trabajando con Chainalysis, una empresa de rastreo de blockchain, para rastrear los fondos robados.

¿Qué Pasó Después?

La red Ronin inició un plan para restaurar a los usuarios todo el dinero que les había sido robado durante el ataque. Según la propia plataforma, está previsto que reúnan el dinero necesario de aquí a dos años. Por el momento han conseguido devolver 150 millones de dólares, lo que les deja en -450 millones todavía.

Las criptomonedas que fueron robadas no se han podido recuperar, así que teóricamente los ladrones siguen en posesión de todo lo conseguido en el hackeo a día de hoy.

2. Febrero 2022 – Robo a Wormhole

El segundo robo de criptomonedas más grande del año se produjo en febrero, un mes antes del de Ronin. Esta vez los ladrones se llevaron algo más de 325 millones de dólares, lo que lo sitúa en uno de los 10 mayores robos de criptomonedas de toda la historia.

El ataque tuvo lugar el 2 de febrero, y fue advertido cuando un post de la cuenta de Twitter de Wormhole anunció que la red estaba siendo retirada «por mantenimiento» mientras se investigaba un posible exploit. Un post posterior de Wormhole confirmó el hackeo y la cantidad robada.

Poco después del ataque, el equipo de Wormhole también ofreció al pirata informático una recompensa de 10 millones de dólares para devolver los fondos, que estaba incrustada como texto en una transacción enviada a la dirección de la cartera Ethereum del atacante.

The wormhole network was exploited for 120k wETH.

ETH will be added over the next hours to ensure wETH is backed 1:1. More details to come shortly.

We are working to get the network back up quickly. Thanks for your patience.

— Wormhole? (@wormholecrypto) February 2, 2022

¿Cómo Lo Hizo?

Para llevar a cabo el ataque, el ladrón consiguió falsificar una firma válida para una transacción que le permitió acuñar libremente 120.000 wETH -un equivalente de Ethereum «envuelto» en la blockchain de Solana, con un valor equivalente a 325 millones de dólares en el momento del robo.

Posteriormente, esta cantidad se cambió por unos 250 millones de dólares en Ethereum que se enviaron desde Wormhole a la cuenta de los piratas informáticos, liquidando así una gran cantidad de fondos Ethereum de la plataforma que se mantenían como garantía para las transacciones en la blockchain de Solana.

3. Abril 2022 – Robo a Beanstalk

Para cerrar este top 3 nos encontramos a Beanstalk. En este caso, el atacante logró drenar alrededor de 182 millones de dólares de criptomoneda de Beanstalk Farms, un proyecto de finanzas descentralizadas (DeFi) cuyo objetivo es equilibrar la oferta y la demanda de diferentes activos de criptomonedas.

En particular, el ataque explotó el sistema de gobierno de voto mayoritario de Beanstalk, una característica fundamental de muchos protocolos DeFi.

El ataque fue descubierto por la empresa de análisis de blockchain PeckShield, que estimó que el beneficio neto para el hacker fue de unos 80 millones de dólares del total de los fondos robados, menos algunos de los fondos prestados que fueron necesarios para realizar el ataque.

Beanstalk se describe a sí misma como un «protocolo de stablecoin descentralizado basado en el crédito». Funciona con un sistema en el que los participantes ganan recompensas aportando fondos a un fondo central de financiación (llamado «el silo») que se utiliza para equilibrar el valor de un token (conocido como «bean») a cerca de 1 dólar.

¿Cómo lo Hizo?

Los creadores de Beanstalk incluyeron un mecanismo de gobierno en el que los participantes podían votar colectivamente sobre los cambios en el código del proyecto. De este modo, se obtienen derechos de voto en proporción al número de tokens (beans) que se tengan, creando así una vulnerabilidad que resultaría ser la perdición del proyecto.

Esta vulnerabilidad fue aprovechada gracias a una producto llamado «préstamo flash», que permite a los usuarios tomar prestadas grandes cantidades de criptodivisas durante periodos de tiempo muy cortos (minutos o incluso segundos). Los préstamos flash están pensados para proporcionar liquidez o aprovechar oportunidades para hacer trading.

Pues bien, el atacante de Beanstalk utilizó un préstamo flash para pedir prestados cerca de mil millones de dólares en activos de criptodivisas y los intercambió por suficientes beans para obtener una participación con derecho a voto del 67% en el proyecto.

Con esta participación mayoritaria, pudo aprobar la ejecución del código que transfería millones de activos a su propia cartera. A continuación, el atacante devolvió instantáneamente el préstamo flash, obteniendo un beneficio de unos 80 millones de dólares.

Teniendo en cuenta la duración de un préstamo flash de Aave, todo el proceso tuvo lugar en menos de 13 segundos. Todo un récord, probablemente el robo más rápido hasta la fecha.