Nuevo exploit de phishing ‘sofisticado’ drena 3 millones de dólares en USDC de una wallet multi-sig

Un inversor de criptomonedas no identificado perdió más de 3 millones de dólares en un ataque de phishing altamente coordinado, tras autorizar sin saberlo un contrato malicioso.

El 11 de septiembre, el investigador de blockchain ZachXBT fue el primero en alertar sobre el incidente, revelando que la billetera de la víctima fue vaciada por un total de 3.047 millones de USDC.

El atacante rápidamente intercambió los stablecoins por Ethereum y canalizó las ganancias a Tornado Cash, un protocolo de privacidad que suele usarse para ocultar el flujo de fondos robados.

Cómo ocurrió el exploit

Yu Xian, fundador de SlowMist, explicó que la dirección comprometida era una billetera multi-firma Safe 2-de-4.

Explicó que la brecha se originó a partir de dos transacciones consecutivas en las que la víctima aprobó transferencias a una dirección que imitaba a la del destinatario previsto.

El atacante diseñó el contrato fraudulento de manera que el primer y último carácter coincidieran con el legítimo, dificultando su detección.

Xian agregó que el exploit aprovechó el mecanismo Safe Multi Send, ocultando la aprobación anormal dentro de lo que parecía ser una autorización rutinaria.

Escribió:

“Esta autorización anormal era difícil de detectar porque no era una aprobación estándar.”

Según Scam Sniffer, el atacante había preparado el terreno con bastante antelación. Implementaron un contrato falso pero verificado por Etherscan casi dos semanas antes, programándolo con múltiples funciones de “pago por lotes” para que pareciera legítimo.

El día del exploit, la aprobación maliciosa se ejecutó a través de la interfaz de la aplicación Request Finance, otorgando al atacante acceso a los fondos de la víctima.

En respuesta, Request Finance reconoció que un actor malicioso había implementado una versión falsificada de su contrato Batch Payment. La empresa señaló que solo un cliente se vio afectado y enfatizó que la vulnerabilidad ya fue corregida.

Aun así, Scam Sniffer destacó preocupaciones más amplias sobre el incidente de phishing.

La firma de seguridad blockchain advirtió que exploits similares podrían originarse desde varios vectores, incluyendo vulnerabilidades de aplicaciones, malware o extensiones de navegador que modifican transacciones, front-ends comprometidos o secuestro de DNS.

Más importante aún, el uso de contratos verificados y direcciones casi idénticas ilustra cómo los atacantes están perfeccionando sus métodos para eludir la vigilancia de los usuarios.

El artículo New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet apareció primero en CryptoSlate.