Binance, uno de los exchanges (casas de cambio) más importantes del mundo, informó que sufrió una brecha de seguridad en su sistema debido a una gran variedad de ataques informáticos, en el día de ayer. Según la información oficial, los hackers lograron retirar de la casa de cambio 7.000 bitcoins (BTC) (alrededor de US$ 40 millones) que se encontraban en el monedero caliente (conectado a la red) de Binance.
"Hemos descubierto una brecha de seguridad a gran escala hoy, 7 de mayo de 2019 a las 17:15:24 (UTC). Los piratas informáticos pudieron obtener una gran cantidad de claves de API de usuario, códigos 2FA y potencialmente más información. Los hackers utilizaron una variedad de técnicas, como phishing, virus y otros ataques. Todavía estamos concluyendo todos los métodos posibles utilizados. También puede haber cuentas adicionales afectadas que aún no se hayan identificado", explicó Zhao Changpeng, CEO de la compañía china en su sitio web.
El retiro masivo de criptomonedas se realizó en una sola transacción, lo que activó todas las alarmas de su sistema de seguridad. La compañía procedió a detener todos los retiros, generando un corralito virtual en el exchange. Si bien los activos afectados parecen muchos, sólo representa el 2% de todos sus fondos de BTC, que se encontraban en un monedero conectado a la red, ya que la enorme mayoría está guardado en lo que se conoce como "cold wallet", sin posibilidad de ser vulnerado a distancia. El "corralito" se extenderá por una semana mientras se llevan a cabo las auditorías correspondientes.
El precio de Bitcoin bajó hasta un 4,2 por ciento en las primeras operaciones en Asia al conocerse la noticia del hackeo, aunque más tarde recuperó algunas de sus pérdidas.
"Los fondos están seguros"
Junto al balzado de agua fría del anuncio, la compañía también aseguro que ninguno de los fondos de sus usuarios se vería afectado. El exchange tiene, desde el año pasado, una política anti hackeo denominada SAFU (Secure Asset Fund for Users). Se trata de un fondo especial de resguardo que se fondea con el 10% del total de sus comisiones de negociación. El nombre del fondo deriva de una expresión del CEO de la compañía "Funds are safe" que fue convertida a una expresión de un inglés con pronunciación asiática, por lo que "safe" pasó a ser "safu".
¿Cómo fue el hackeo?
La compañía, hasta el momento, no dio demasiados detalles. Sólo confirmo que se trata de un ataque que involucra las llaves API (tokens de registro que usan los sitios web para autentificar usuarios) y los códigos 2FA (códigos de "dos pasos", como chequear un número que se envía al celular para acceder a otro servicio como una red social). Al parecer, los atacantes llevaron adelante una campaña de phising que logró recolectar estos datos aprovechando alguna vulnerabilidad hasta ahora no clarificada por la empresa.
El antecendente más claro se remonta al año pasado, cuando sucedió algo similar. Una clave API es el nombre que se le da a alguna forma de token secreto que se envía junto con las solicitudes de servicios web (o similares) para identificar el origen de una solicitud. La clave puede incluirse en algún resumen del contenido de la solicitud para verificar el origen y evitar la manipulación de los valores. En un ataque similar que ocurrió en marzo de 2018, los atacantes lograron recolectar las llaves API de cientos de usuarios de Binance. Luego, usaron estas llaves para crear bots automáticos de trading (software que ejecuta ventas y compras dentro del exchange). El objetivo era coordinar su granja de bots para "pumpear" (como se conoce en el mundo cripto a la suba artificial del precio de una moneda por fuerza bruta) una moneda llamada Viacoin; que los propios atacantes estaban comerciando por bitcoins.
Se estima que este ataque pudo haber involucrado un robo de llaves API a los usuarios, sólo que hasta ahora se desconoce cómo lograron acceder a las ordenes de BTC.