Un hacker logra tomar un millón de dólares en criptomonedas, pero se deja el botín

El ciberdelincuente no llegó a transferir los tokens que había conseguido en Zeed aprovechándose de una vulnerabilidad.

Alberto Payo

Periodista

Guardar

Proliferan las campañas de phishing orientadas al robo de criptocarteras.
Proliferan las campañas de phishing orientadas al robo de criptocarteras.

Quizás hayas visto más de un vídeo en la que un ladrón logra violar las medidas de seguridad de un comercio, entrar en él, vaciar la caja o las estanterías y, finalmente, se deja la bolsa con todo lo que había robado. Pues este tipo de cosas también ocurren en el ámbito cibernético.

La firma de seguridad especializada en blockchain y auditoría de smart contracts BlockSec ha publicado un hilo en Twitter contando cómo sus sistemas detectaron una vulnerabilidad de distribución de recompensas en la plataforma de finanzas descentralizadas Zeed

Un hacker se aprovechó de este exploit en la forma en que el protocolo distribuye las recompensas, lo que le permitió acuñar tokens extra que luego se vendieron, impulsando el precio a que cayera a cero, aunque consiguiendo algo más de un millón de dólares. Sin embargo, finalmente, no completó el proceso para llevarse su 'pesca'. 

"Cuando un usuario intercambia el par, el token recompensa al par, diviendo la recompensa en tres pares diferentes. Sin embargo, el proyecto tiene una vulnerabilidad que distribuye las recompensas sin sumergirse en tres pares", ha explicado BlockSec. "Dado que estos pares obtienen tokens, el atacante puede conseguir los tokens invocando la función de skim del par". 

Cuando los nervios juegan una mala pasada

La firma de análisis de blockchain PeckShield reveló como las cripto robadas habían sido transferidas a un contrato de ataque, el cual ejecuta rápidamente la vulnerabiliad encontrada. Pero el cibermalo no llegó a transferir los tokens que había conseguido  antes de que el contrato de ataque se autodestruyera. 

Se desconoce qué motivó al hacker a no hacerse finalmente con el 'botín'. BlockSec explica que podría deberse a que "él o ella estaba demasiado emocionado/a". Su teoría es que se puso nervioso al haberlo conseguido y, por ello, no cayó en completar la transacción.

Otros medios apuntan a que algo o alguien podrían haber prevenido al hacker de que no tomara los tokens por algún motivo.