Alrededor de 152.000 dólares en ether (ETH) fueron robados de MyEtherWallet (MEW), una de las carteras digitales de Ethereum más populares.
A las 12.00 horas (UTC) de este 24 de abril, un par de sus servidores sufrieron un ataque DNS (Domaine Name System o sistema de nombres de dominio). Algunas personas reportaron que al usar el DNS público de Google fueron redirigidos a un sitio de phishing, donde quedaron expuestas sus contraseñas de usuario. De esta manera, sus fondos fueron sustraídos de sus carteras digitales durante las dos horas que duró el ataque.
MEW informó a través de su cuenta oficial en Twitter a las 7:29 horas (EDT), dentro de los 15 minutos desde que comenzó el hackeo, que algunos de sus servidores DNS habían sido comprometidos y que no se trataba de una falla de MEW, aunque estaban revisando sus servidores.
Usuarios reportaron la pérdida de sus fondos tanto en el hilo de la publicación en la red de microblogging como en Reddit.
I lost my whole life savings coin with this grab of https://t.co/ZjALs0Tee6.....please stay away from this phishing,porous and compromise online wallet.
— ifeanyi nwokocha (@IfeanyiKreative) April 24, 2018
Los hackers robaron en total 216.06 ethers, lo que equivale a casi 152 mil dólares al momento de escribir este artículo. Usuarios reportaron que la dirección de destino de sus fondos es: 0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29. Tras el ataque, el hacker envió 215 ethers a otra dirección y luego envió esos fondos a diversas carteras, según datos de Etherscan.
La empresa publicó después un comunicado en Reddit en el que afirmó que la seguridad de MEW no había sido comprometida y explicó que los piratas informáticos encontraron vulnerabilidades en servidores DNS públicos. Mientras tanto, ha recomendado a sus usuarios cambiar a servidores DNS Cloudflare.
"Los usuarios afectados son aquellos que probablemente pincharon el botón de 'ignorar' en una advertencia de SSL [Secure Sockets Layer o capa de sockets seguros] que aparece al visitar una versión maliciosa del sitio web de MEW", ahondó la empresa, y añadió que están verificando cuáles fueron los servidores atacados para resolver el problema cuanto antes.
Estudio muestra las vulnerabilidades de las carteras digitales a ataques
En vez de comprometer MEW, los ciberdelincuentes interceptaron las solicitudes DNS de myetherwallet.com para hacer parecer a un servidor ruso como el propietario legítimo de la dirección. La mayoría de los usuarios afectados usaron el servicio DNS 8.8.8.8/8.8.4.4 de Google, explicó Micky Socaci, desarrollador principal de BlockBits.io, en un subreddit.
Para interceptar esas solicitudes, los piratas informáticos emplearon una técnica conocida como secuestro de BGP (Border Gateway Protocol o protocolo de puerta de enlace de frontera), que difunde información de enrutamiento incorrecta como una forma de interceptar el tráfico en tránsito.
Un secuestro de este tipo normalmente requiere piratear los servidores BGP operados por un ISP u otro proveedor de infraestructura de internet. En este caso, el hackeo se produjo en las proximidades de un intercambio de internet en Chicago, aunque la raíz de la brecha aún se desconoce.
El CEO de MyEtherWallet, Kosala Hemachandra, informó que todos los servidores DNS están siendo monitoreados mientras resuelven el problema. En tanto que Google, afirmó el directivo de MEW, resolvió el problema de su DNS pública en muy poco tiempo.
Mientras tanto, MEW ha aconsejado lo siguiente a sus usuarios:
- Asegurarse de que haya un certificado SSL de barra verde que diga "MyEtherWallet Inc" antes de usar MEW.
- Hacer una copia local (fuera de línea) de MEW.
- Usar billeteras frías para almacenar sus criptomonedas.
- Ignorar cualquier tweet, post de Reddit o mensaje de cualquier tipo que afirme estar regalando o reembolsando ETH en nombre de MEW.
Esta no es la primera vez que la web de MEW ha sido comprometida. En octubre pasado, fue víctima de un ataque de phishing en el que un grupo de ciberdelincuentes se hizo pasar por el equipo de la empresa y envió links fraudulentos para robar llaves privadas. Consiguieron robar más de 15 mil dólares en ETH.
En diciembre de 2017, MEW alertó a sus usuarios sobre la aparición de una versión falsa de su cartera digital en la App Store. La aplicación consiguió llegar al top 3 de descargas en la categoría de finanzas antes de ser retirada.