Un exploit drena USD 60 millones de algunas wallets de criptomonedas

Una reciente investigación reveló que algunos hackers han estado aprovechando una vulnerabilidad que les facilita saltarse las alertas de seguridad, y que les ha permitido robar más de 60 millones de dólares en criptomonedas. 

Según publicó este 12 de noviembre la compañía de investigación cibernética, Scam Sniffer, los hackers hacen un mal uso de la función CREATE2, dentro de los contratos inteligentes de sitios phishing, para crear direcciones de pago diferentes a la original.  

El problema que detectó Scam Sniffer, es que el uso de la función no implica ningún tipo de riesgo, incluso todos los contratos de Uniswap utilizan la función CREATE2. Sin embargo, al momento que es usada por los hackers para un ataque phishing, estos logran saltarse los controles de alertas de las wallets, como MetaMask, haciendo que la transacción parezca totalmente legal.  

Según revela la cuenta de Twitter, al momento de ver una transacción maliciosa en MetaMask, esta no muestra ningún tipo de alerta, ya que considera que es una operación totalmente legal.

Como explicábamos, el riesgo de este ataque radica en que CREATE2 no es un código malicioso por sí solo, pero es aprovechado de forma maliciosa, ya que este permite la generación de direcciones de pago de forma aleatoria.  

De esa manera, el usuario termina considerando que la transacción es correcta, y procede a realizar el pago. Sin embargo, al firmar la operación, permite que su wallet de criptomonedas sea drenada.  

Lo impactante de este descubrimiento es la cantidad de víctimas que ya casi supera los 100.000 usuarios de criptomonedas. Algunos de estos tuvieron pérdidas individuales que ascienden los 1.6 millones. Lo que lo convierte en un problema considerable, debido a la cantidad de víctimas.  

Scam Sniffer exhorta a los usuarios a verificar las direcciones de pago, y evitar conectar las wallet de explorador con sitios de dudosa procedencia.