ZachXBT explora un ataque que vaciará su billetera por $5.36 millones 

El investigador en cadena ZachXBT ha detectado otro ataque de vaciado de billeteras, que abarca docenas de direcciones. Los robos, aparentemente aleatorios, se han relacionado con la filtración de datos de Last Pass, lo que podría exponer varias billeteras. 

ZachXBT informó del robo de un total de 5,36 millones de dólares de monederos personales que contenían Bitcoin y activos del Ethereum . Todas las direcciones, aparentemente aleatorias, tenían algo en común: utilizaban LastPass para almacenar y proteger sus contraseñas. Tras una filtración de datos en 2022, se descubrió que la lista de monederos había sido comprometida. 

ZachXBT tambiéndenta los atacantes como una entidad cohesiva, el "actor de amenazas de Last Pass". Los atacantes utilizaron un enfoque similar: vaciaron las billeteras y luego intercambiaron inmediatamente Ethereum y Bitcoina través de plataformas de intercambio instantáneo. El ataque afectó a múltiples tokens, pero los hackers buscaban simplificar sus tenencias.

Las víctimas de Last Pass se enfrentan a otra ronda de ataques a sus billeteras

Al parecer, algunos propietarios de billeteras también almacenaron claves privadas en el servicio, lo que filtró el acceso directo a las billeteras. El ataque real ocurrió mucho después de la filtración de datos, y es posible que haya más billeteras potencialmente expuestas, pero aún no vaciadas. 

El reciente lote de billeteras vaciadas incluye a influencers de criptomonedas con nombres ENS, así como usuarios activos de DEX y DeFi . A pesar de su experiencia, las direcciones expuestas provocaron pérdidas totales. Las billeteras automatizadas para recibir fondos o recompensas de contratos inteligentestracestar especialmente en riesgo.

En uno de los casos, los fondos recibidos provinieron de un usuario de OpenSea, posiblemente de la venta de un NFT. En este caso, la billetera receptora podría estar automatizada y ya vinculada al mercado de NFT. La billetera se vació poco después, y los fondos se enviaron directamente a un intercambio anónimo.

Hasta la fecha, se han vaciado más de 40 direcciones. En algunos casos, las direcciones muestran evidencia de vigilancia, ya que el vaciado ocurrió justo después de un depósito reciente de fondos. Algunas billeteras recibieron fondos de plataformas de intercambio para su almacenamiento o como depósito intermedio, y se vaciaron poco después de la transacción.

ZachXBT ya había tracun lote anterior de 22 direcciones, con pérdidas superiores a los 6,2 millones de dólares, incluso en la etapa inicial del mercado alcista. Otros investigadores en cadena también han alertado sobre la posible exposición de billeteras. 

Han pasado 2 años desde que Path hizo sonar la alarma.

Desde entonces hemos investigado miles de estos robos.

Incluyendo 2 más en las últimas horas.

Migre sus fondos a billeteras nuevas si ha utilizado LastPass.

Por favor, díselo a tus amigos.

Por favor. Te lo ruego. 🙏 https://t.co/5xd5oYxbwb

– Tay 💖 (@tayvano_) 16 de diciembre de 2024

La única solución para los usuarios es abandonar todas las billeteras potencialmente expuestas. El riesgo persiste para quienes usaron Last Pass antes del exploit de 2022. Todos los fondos deben transferirse a nuevas direcciones, ya que las antiguas ya están monitoreadas para detectar transacciones entrantes. 

El último ataque a billeteras se produce tras un lote anterior de billeteras vinculadas a datos de Last Pass. En octubre de 2023, un total de 25 billeteras fueron vaciadas con $4.4 millones en monedas y tokens digitales. Como se informó anteriormente, algunas de las billeteras contenían fondos sustanciales y pertenecían a personas con información privilegiada sobre criptomonedas, incluso inversores de capital riesgo y desarrolladores DeFi . 

El ataque anterior no alertó a todos los propietarios de billeteras expuestas a Last Pass. ZachXBT ya había advertido sobre billeteras potencialmente expuestas, aunque los hackers lograron atacar más cuentas. 

Hacks enviados directamente a los exchanges

A diferencia de otros intentos de hackeo, los fondos de las billeteras se vaciaron directamente en cuentas de exchange. Esto sugiere que el hacker tenía control total y decidió intercambiar los fondos para ocultarlos. En un caso, se vaciaron 15 ETH de una billetera , que se enviaron directamente a una dirección de exchange. 

Otra billetera perdió 32 ETH, que se enviaron a la billetera activa FixedFloat. El exchange también se usó para otras billeteras. El exchange en sí no se vio afectado y es completamente neutral ante el ataque. Sin embargo, el DEX es un objetivo habitual de los hackers, utilizado para transformar fondos y ocultar su trac. Anteriormente, los analistas tracfondos de un ataque contra Rocket Pool al mismo DEX. 

FixedFloat ofrece un servicio de intercambio simplificado con comisiones relativamente altas, sin necesidad de una cuenta ni de KYC. El propio exchange ha sido blanco de hackers tras sufrir una vulneración de $26 millones en ETH y BTC en marzo.