El fundador del protocolo de seguros DeFi, Nexus Mutual, ha publicado un postmortem del hack dirigido utilizando MetaMask que resultó en la pérdida personal de 8 millones de dólares en criptomonedas.
El 14 de diciembre, el fundador de Nexus Mutual, Hugh Karp, tuvo una desagradable sorpresa cuando lo engañaron para que realizara una transacción con la dirección de un atacante a través de MetaMask. Esto resultó en la pérdida de 370,000 tokens Nexus Mutual (NXM) por un valor de alrededor de 8.4 millones de dólares en ese momento.
Karp ahora ha detallado el ataque con la esperanza de que otros no sean víctimas de la misma estafa.
PC con Windows y MetaMask comprometidos
El experto en DeFi declaró que estaba usando un Ledger conectado a través de MetaMask para interactuar con la aplicación Nexus Mutual en ese momento en una computadora con Microsoft Windows.
Unos días antes, Karp notó que la pantalla parpadeaba mientras redactaba un correo electrónico, pero no le prestó mucha atención. Una hora después, el 11 de diciembre, la extensión MetaMask se modificó del disco y se reemplazó por una versión maliciosa.
El día del ataque, fue a reclamar algunas recompensas de minería de shield a través de la extensión MetaMask, que mostró una transacción falsa en lugar de una al destino previsto. La transacción apareció en Ledger y se realizó, pero no hubo confirmación de la aplicación Nexus Mutual.
Agregó que debería haber tenido más cuidado al verificar los detalles de la transacción, pero la vulnerabilidad era su PC, que probablemente fue secuestrada por malware.
“Si bien la mayoría de los ataques de Metamask suplantan sus claves privadas engañándolo para que descargue una versión maliciosa, este no fue el caso aquí”.
Karp ha estado trabajando con expertos en ciberseguridad en Kaspersky, pero aún se desconoce el exploit real. Agregó que MetaMask, que ha comenzado a reforzar su seguridad, es un claro objetivo de muchos ataques y:
“Los usuarios avanzados de DeFi probablemente deberían asumir que Metamask está comprometido en todo momento a menos que lo estén ejecutando en una máquina limpia separada que no hace más que firmar transacciones”.
Se advierte a los usuarios de Ledger
Tras la reciente violación de datos de Ledger, es probable que cualquiera que posea este monedero de hardware se convierta en un objetivo similar. Los piratas informáticos ahora tienen acceso a sus correos electrónicos, números de teléfono y detalles de direcciones gracias a la falta de seguridad del fabricante francés de monederos.
Algunos miembros de la comunidad establecieron una subvención de Gitcoin para compensar a Karp por algunas de sus pérdidas, sin embargo, declaró que no siente que deba ser compensado. Sugirió recaudar una recompensa para financiar el desarrollo de una solución altamente segura para interactuar con contratos inteligentes diseñados para usuarios minoristas.
No hay tales lujos disponibles para los propietarios de Ledger que son pirateados. La compañía ya ha declarado que no tiene intención de ofrecer reembolsos o asistencia.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica con buena fe y sólo con fines de información general. Cualquier acción que el lector tome sobre la información encontrada en nuestro sitio web es estrictamente bajo su propio riesgo.