Investigación del ataque a Safemoon

Investigación del ataque a Safemoon

Más de 1.500 bitcoins (más de 100 millones de dólares estadounidenses al cambio actual), que habían estado guardados en los alijos de los hackers durante más de 7 meses, empezaron a moverse. Los Fondos robados que están asociados con grandes hackeos de los últimos años, y que la investigación del FBI atribuyó anteriormente a las actividades del Grupo Lazarus (comunicado de prensa del FBI), empezaron a blanquearse.

Aquí tienes una lista de estas direcciones:
3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG
39idqitN9tYNmq3wYanwg3MitFB5TZCjWu
3AAUBbKJorvNhEUFhKnep9YTwmZECxE4Nk
3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc
3NbdrezMzAVVfXv5MTQJn4hWqKhYCTCJoB
34VXKa5upLWVYMXmgid6bFM4BaQXHxSUoL

Nuestro equipo de analistas, que está investigando este incidente, determinó que, hasta la fecha, los hackers ya han logrado blanquear más de 44 BTC (más de 3 M$ al cambio actual) a través de los exchanges de criptomonedas HTX, CoinEx y FixedFloat.

A pesar de la presencia de marcados de sanciones, los hackers logran blanquear casi libremente los fondos robados a través de exchanges de criptomonedas que cumplen las políticas AML. Esto es posible en gran medida debido a que los hackers usan esquemas especiales de blanqueo que les permiten engañar a los sistemas AML de los exchanges, que no siempre están al día con los marcados y se enteran de la aceptación de fondos robados después de que los hackers ya los han retirado de los exchanges.

Match Systems insta a los exchanges de criptomonedas y a toda la comunidad cripto a prestar atención a las direcciones de los hackers mencionadas para impedir que los hackers lleven a cabo sus planes.

Hacker:

Investigación del ataque a SafemoonEquipo de Safemoon:Investigación del ataque a SafemoonHacker:Investigación del ataque a SafemoonEquipo de Safemoon:Investigación del ataque a SafemoonEquipo de Safemoon:Investigación del ataque a Safemoon

Equipo de Safemoon:

Investigación del ataque a Safemoon0x60dc5bb048310224b8732d732f4a32d16690e470 – usada por un Tercero desconocido, una persona que conoce al hacker y al equipo de Safemoon, y dispuesta a mediar en el incidente, envió mensajes al hackerInvestigación del ataque a Safemoon0x70b8172e628992007453aa4fe27048b59957e0ef – usada por un Tercero desconocido para enviar mensajes al equipo de Safemoon y al hackerInvestigación del ataque a SafemoonInvestigación del ataque a SafemoonInvestigación del ataque a Safemoon

Cronología de los eventos clave

La cronología del incidente (UTC) tal cual

Investigación del ataque a Safemoon

Nuestro zoo

Los puntos de interés, según lo anterior:

Investigación del ataque a Safemoon

0x286e09932b8d096cba3423d12965042736b8f850 – la dirección de la retirada inicial de los activos del contrato inteligente. También usada por el hacker para enviar mensajes al equipo del proyecto Safemoon (la llamaremos «Capibara pelirroja»)

Investigación del ataque a Safemoon

0x237d58596f72c752a6565858589348d0fce622ed – la dirección donde se mantienen actualmente los activos. (la llamaremos «Suricata azul») 000000000000000000000000000000

Investigación del ataque a Safemoon

0x60dc5bb048310224b8732d732f4a32d16690e470 – la dirección desde la que se recibió el mensaje que ofrecía al mediador para las negociaciones (llamémosla «Paloma amarilla»)

Investigación del ataque a Safemoon

0x60dc5bb048310224b8732d732f4a32d16690e470 – la dirección desde la que se recibió el mensaje que ofrecía al mediador para las negociaciones (llamémosla «Paloma amarilla»)

Desanonimización de las bestias

  • La desanonimización de la Capibara pelirroja puede hacerse obteniendo información de Binance sobre los propietarios de las direcciones de depósito:

0x207e689ba4fdcd8e6e3a4a40d8247d7cce1462b3, 0xeec475b4bed5822eef6ccda45c52ff54da1414f7
y los iniciadores de las transacciones que aportaron el «gas»
0x34927071e8c58c99db192b88f58a3ef2b1b6cf998f21dc1a08be270e519ec57e
0xb730a8be2a0a2ec13aba48fcc33dae8a1d5e31383df270fee16d48b681e1c861
0x40e2969e2c88c642a332acaca8c706d3c415d8a253d45d36ca77c6b6a790d54f
0x1ee79a12b795d3554e98c4c84c482f2e2f3b6eb87e80649dfccee20f8e818382
0x24da81ed18e1d129dffdbb9ffa0c8c37edfd22b012f52d89030a45169f47a17e

Investigación del ataque a Safemoon

  • Desanonimización de la Suricata azul a través de la Capibara pelirroja

Investigación del ataque a Safemoon

  • La desanonimización de la Paloma amarilla puede hacerse obteniendo información de Binance sobre el propietario de la dirección de depósito:

TLaUFJmCwU3GazcmHKVkvNKE4EgU9qmvYH

y el iniciador de la transacción que aportó el «gas»
2b081cd589254db6ed7eaf5128d2a3c762ac66bea183d4ce2a65941279984fa8
También de Paxful sobre otros iniciadores:
656995b7d2af3941f916db96cbd1d903717ca869b877b37042bef7e2503cc4c5
036ca0e667922e741d3813666bc04bb76f8b34f3c875d72ca5f8f82ba91b9c45
b6e2ff66ee8e6f28476a6d02a5cb9c439546fee306f4ee589e1ea30ba43cc1b9
3fc3ab6748937ddd9d791c036673b7cf90f55b71cb64bddebe76b0d5b4edda0c

Investigación del ataque a Safemoon

  • En cuanto a la dirección del «Zorro negro» 0x70b8172e628992007453aa4fe27048b59957e0ef, por el momento no es posible establecer ningún dato adicional.

Investigación del ataque a Safemoon

Algunos detalles técnicos del hackeo y la respuesta de la comunidad

Este fallo, a su vez, ha provocado una ola de indignación y acusaciones contra los desarrolladores. La comunidad negó la idea de que este fallo fuera accidental y acusó a los desarrolladores de la implementación intencionada del fallo en un contrato inteligente en funcionamiento.
Más, y más, y más

Investigación del ataque a Safemoon

Entre otras cosas, el usuario de «https://dune.com/» con el apodo «@factsudeny» publicó las direcciones que, en su opinión, estaban relacionadas con Safemoon y aportó un análisis de esas direcciones. La analítica cross-chain muestra que estas direcciones tienen coincidencias en varias blockchains 0x, pero hasta que se confirme que pertenecen a Safemoon y se establezca la necesidad de estudiarlas siquiera, una investigación más profunda queda fuera de interés.

Investigación del ataque a Safemoon

A modo de conclusión

El estudio encontró estrechos vínculos entre los atacantes y los exchanges centralizados de criptomonedas, lo que, a su vez, permitirá a las fuerzas del orden solicitar los datos pertinentes e identificar a las personas implicadas, si existe una razón imparcial para hacerlo
El hecho de que los desarrolladores hicieran cambios en el contrato inteligente que permiten tales manipulaciones merece una atención adicional. Teniendo en cuenta que la versión anterior del contrato inteligente no tenía tales vulnerabilidades, y que tras la actualización se produjo un hackeo en un periodo relativamente corto, parece razonable llevar a cabo una auditoría interna adicional respecto a las personas implicadas en la realización de estos cambios.

Posdata

Esta investigación puede estar incompleta y parte de la información puede faltar, ya que fue realizada por nuestro equipo en su propio tiempo con fines de práctica. En el momento de redactar esto, no tenemos ningún contrato ni NDA que nos restrinja a recopilar, analizar o difundir la información, así como a investigar en profundidad el incidente, si fuera necesario.

Populares

Enviar una solicitud

Deja una solicitud

¿Cómo contactarte?

Indica tu usuario de Telegram o tu correo, según el método de comunicación elegido.