A un inversor en criptomonedas se le extraen 800.000 dólares de sus carteras en 46 horas

Un inversor en criptomonedas, conocido como Sell When Over, recurrió a Twitter para analizar una terrible experiencia en la que un hacker desvió 800.000 dólares de sus carteras de criptomonedas en tan solo 46 horas. El principal problema parece girar en torno a un posible de Google Chrome, facilitado posiblemente por actualizaciones retrasadas o malware no detectado, que conduce a la instalación no autorizada de extensiones maliciosas.

El desmoronamiento de las capas de seguridad

Sell ​​When Over contó cómo pospuso una actualización de Chrome solo para ser empujado por una actualización posterior de Windows. Después del reinicio, las modificaciones de Chrome fueron inmediatas: pestañas desaparecidas y restablecimiento de inicios de sesión de extensiones. Esta anomalía lo obligó a volver a importar las semillas de su billetera, un proceso que llevó a cabo meticulosamente desde un dispositivo secundario sin concesiones.

Sin embargo, fue el descubrimiento de dos extensiones peculiares, “Sync Test Beta” y “Simple Game”, junto con una activación no solicitada de la traducción automática al coreano, lo que insinuó un compromiso más profundo. Curiosamente, una aplicación de billetera específica, que se salvó del proceso de reimportación, no se vio afectada, señalando el origen de la infracción en una PC comprometida singular.

Investigar más a fondo estas extensiones reveló funcionalidades alarmantes. “Sync Test Beta”, una extensión de colores vivos, fue dent como un registrador de pulsaciones de teclas que transmitía datos en secreto a un script PHP externo. Por otro lado, “Simple Game” parecía monitorear las actividades de las pestañas del navegador. Sell ​​When Over lamentó la sabiduría retrospectiva de un borrado completo de la PC ante la más mínima anomalía, especialmente cuando tales peculiaridades coinciden con actualizaciones significativas como la revisión de la interfaz de usuario de Chrome.

Una costosa lección de vigilancia digital

A medida que el hilo se expandió, Sell When Over reveló una falla de seguridad crítica: una violación de inicio de sesión de Google vinculada a un dispositivo Windows desconocido, posiblemente falsificando el nombre de un dispositivo familiar para evitar la detección temprana. Esta violación se trac a un VPS alojado por Kaopu Cloud, conocido dentro de los círculos de hackers por su papel en varios delitos cibernéticos. A pesar de tener habilitada la autenticación de dos factores (2FA), el atacante navegó alrededor de ella, dejando el método exacto de violación, que va desde phishing OAuth hasta secuencias de comandos entre sitios, como cuestión de especulación.

El dent sirvió como una brutal llamada de atención, y Sell When Over compartió varias conclusiones clave:

1. Decepción por el fracaso de Bitdefender en detectar amenazas, contrastando la efectividad de Malwarebytes.
2. Una advertencia contra la complacencia en materia de seguridad, independientemente de la cantidad de criptomonedas manejadas.
3. Un consejo severo contra la introducción de frases iniciales bajo cualquier forma, abogando en su lugar por una nueva configuración del sistema.
4. Abandonar Chrome por navegadores más seguros como Brave.
5. La importancia de la segregación de dispositivos, especialmente para transacciones criptográficas.
6. Seguimiento periódico de las alertas de actividad de Google.
7. Recomendaciones para deshabilitar la sincronización de extensiones, especialmente en dispositivos designados para criptografía.
8. Un reconocimiento de las limitaciones de 2FA.
9. La necesidad de realizar auditorías de seguridad de rutina y actualizaciones de procedimientos para protegerse de amenazas latentes.

En medio de pérdidas financieras, Sell When Over aclaró que su billetera de hardware permaneció segura, descartando cualquier especulación sobre motivos de evasión fiscal detrás de esta revelación. A pesar de que una parte de los fondos robados comenzaron a ser lavados, se ofreció una esperanzadora recompensa de 150.000 dólares por su devolución, junto con consideraciones para una investigación forense basada en la recompensa.

La saga concluyó con una nota de vigilancia continua, especialmente en el contexto de la cuestionable decisión de Google de enviar alertas de seguridad, una medida que potencialmente enmascaró la intrusión.