Blockchain y criptomonedas, tecnologías de próxima generación y desarrollo seguro También: hacks de UwU Lend, disolución de Terraform Labs, acuerdo de Gemini Rashmi Ramesh (rashmiramesh_) • 20 de junio de 2024 Imagen: Shutterstock Cada semana, Information Security Media Group recopila incidentes de ciberseguridad en activos digitales . Esta semana, los investigadores de CertiK supuestamente robaron dinero de Kraken, UwU Lend fue pirateado, Terraform Labs cerró, Gemini pagará a los inversores defraudados, tres entidades reclamaron activos FTX incautados, un banco chino sufrió malversación y lavado de dinero, y el jefe de criptografía de la SEC se va . Ver también: Bajo demanda | Fecha límite del NSM-8, julio de 2022: Claves para la implementación de algoritmos resistentes a los cuánticos Kraken y CertiK en disputa por el robo de día cero y 3 millones de dólares Los investigadores de seguridad explotaron una vulnerabilidad de día cero en Kraken para robar 3 millones de dólares y luego se negaron a devolver los fondos, dijo el intercambio de cifrado, sin identificar a los investigadores. CertiK se identificó como la empresa de seguridad en cuestión y acusó a Kraken de amenazar a sus empleados. El director de seguridad de Kraken, Nicholas Percoco, tuiteó que el intercambio recibió un vago informe de error el 9 de junio sobre una vulnerabilidad crítica que permitía a cualquiera aumentar artificialmente los saldos en una billetera Kraken. El equipo de seguridad de Kraken identificó una falla que permite a los atacantes iniciar un depósito y recibir fondos, incluso si el depósito falla. Percoco aclaró que los activos de los clientes no estaban en riesgo, pero los atacantes podían crear activos temporalmente en sus cuentas de Kraken. El equipo solucionó la falla, que fue el resultado de un cambio reciente en la interfaz de usuario que permitía a los usuarios depositar y usar fondos antes de ser autorizados. Kraken luego descubrió que tres usuarios habían aprovechado este error para robar 3 millones de dólares de la tesorería de la bolsa. Uno de ellos, que afirmaba ser un investigador, utilizó por primera vez el error para depositar 4 dólares en su propia cuenta para demostrar la vulnerabilidad. Luego, dos de los asociados del investigador retiraron 3 millones de dólares. Los investigadores se negaron a devolver la criptografía o a compartir más información sobre el error con Kraken, dijo la empresa de criptografía. En cambio, exigieron un pago especulativo por sus hallazgos basado en cuál podría haber sido el daño si un pirata informático hubiera explotado la vulnerabilidad, dijo Percoco. Sus acciones fueron extorsión, no piratería ética, afirmó. Kraken denunció el incidente a las autoridades y lo está tratando como un caso penal. CertiK dijo que después de identificar y solucionar la vulnerabilidad, el equipo de operaciones de seguridad de Kraken amenazó a sus empleados con «devolver una cantidad no coincidente de criptomonedas en un tiempo irrazonable, incluso sin proporcionar direcciones de pago». UwU Lend fue hackeado dos veces Los piratas informáticos explotaron el protocolo UwU Lend dos veces este mes, robando un total de aproximadamente 23,7 millones de dólares. La plataforma de análisis de datos en cadena Cyvers dijo que ambos ataques fueron llevados a cabo por el mismo hacker. En el primer ataque el 10 de junio, se robaron casi 20 millones de dólares debido a un ataque de manipulación de precios y en el segundo ataque, tres días después, se perdieron 3,7 millones de dólares. La última infracción se produjo justo cuando UwU Lend comenzaba el proceso de reembolso para las víctimas del primer ataque. El protocolo dijo que resolvió la vulnerabilidad que condujo al ataque inicial y anunció el reembolso de más de 1,7 millones de dólares en Wrapped Ether y un reembolso total de más de 9,7 millones de dólares. La empresa de criptoseguridad CertiK le dijo a CoinTelegraph que el segundo exploit fue consecuencia del primero. El atacante retuvo los tokens del primer exploit y, aunque la empresa detuvo el protocolo, reconoció el token robado como garantía legítima. Esta supervisión permitió al atacante explotar los tokens restantes y drenar fondos adicionales, supuestamente dijo CertiK. UwU Lend ofrece una recompensa de 5 millones de dólares a cualquiera que pueda identificar y localizar al atacante. Terraform Labs disolverá sus operaciones Terraform Labs disolverá sus operaciones y venderá sus proyectos dentro del ecosistema Terra, anunció el director ejecutivo Chris Amani. La decisión se produce tras un acuerdo de 4.470 millones de dólares al que Terraform llegó con la Comisión de Bolsa y Valores de EE. UU. a raíz del colapso de la moneda estable algorítmica de UST en 2022. Amani, que sucedió a Do Kwon como director ejecutivo en julio de 2023, tuiteó que Terraform Labs “siempre tuvo la intención de disolverse en algún punto y ese punto es ahora”. La empresa planea quemar de sus billeteras todos los tokens Luna no adquiridos, la criptomoneda nativa de Terraform. Amani dijo que las cadenas de bloques Terra y Terra Classic podrían continuar bajo control de la comunidad si alguien toma posesión de las cadenas de bloques. La SEC acusó a Terraform y al cofundador Kwon en febrero de 2023 de engañar a los inversores y violar las leyes federales de valores al vender valores no registrados. El acuerdo incluye 3.580 millones de dólares en devolución, una multa civil de 420 millones de dólares y una prohibición de que Kwon se desempeñe como funcionario o director de cualquier empresa pública. Kwon debe contribuir aproximadamente 204 millones de dólares al patrimonio de la quiebra para compensar a los inversores perjudicados por el plan. Terraform Labs se acogió al Capítulo 11 de la ley de bancarrotas en Delaware en enero. Gemini pagará 50 millones de dólares a inversores defraudados El exchange de criptomonedas Gemini pagará 50 millones de dólares en activos digitales a los inversores de Gemini Earn como parte de un acuerdo con el fiscal general de Nueva York. La oficina dijo que Gemini engañó a miles de inversores sobre los riesgos asociados con el programa Gemini Earn, que pretendía permitir a los clientes prestar sus criptomonedas a Genesis Global Capital, ahora en quiebra, para obtener hasta un 7,4% de rendimiento porcentual anual. James dijo que Gemini comercializó falsamente el programa Earn como una oportunidad de inversión segura y finalmente excluyó a los inversores de sus cuentas. Se espera que el acuerdo garantice la recuperación total de todos los inversores defraudados y les ayude a recuperar los activos que invirtieron en el programa Earn. Gemini tiene prohibido realizar programas de préstamos criptográficos en el estado de Nueva York. Gemini anunció el mes pasado que los usuarios de Earn recuperarían 2,180 millones de dólares de sus criptomonedas en especie, lo que significa que los clientes que prestaron un bitcoin recibirían un bitcoin de vuelta. Las distribuciones finales de Earn estarán disponibles en las cuentas de los clientes dentro de siete días, según el comunicado de Gemini. Tres entidades reclaman activos de FTX incautados Tres grupos distintos presentaron reclamaciones sobre los activos incautados al ex director ejecutivo de FTX, Sam Bankman-Fried, tras su condena penal. El patrimonio de los deudores de FTX, encabezado por el director ejecutivo John Ray III, presentó una reclamación por seis categorías de activos incautados por los fiscales del gobierno. Estos incluyen fondos en bancos asociados con Alameda Research y FTX Digital Markets, dos jets privados, fondos en Silvergate Bank pertenecientes a Bankman-Fried y al ex director financiero de FTX, Luk Wai Chan, contribuciones políticas realizadas por Bankman-Fried y otros ejecutivos de FTX, y ganancias de la venta de acciones de Robinhood en poder de Emergent Fidelity Technology Ltd. El patrimonio de los deudores de FTX argumentó que estos activos nunca pertenecieron a Bankman-Fried, ya que fueron adquiridos a través de actividades delictivas y financiados por los activos del deudor. Dijeron que recuperar estos activos beneficiará a todos los acreedores y partes interesadas involucradas en los procedimientos de quiebra del Capítulo 11 y la liquidación de FTX Digital en las Bahamas. Otros dos demandantes también han solicitado una parte de los activos. Los liquidadores designados por el tribunal y los abogados de Antigua que representan a los acreedores de FTX en una demanda colectiva en el Tribunal de Distrito de los Estados Unidos para el Distrito Sur de Florida impugnaron las reclamaciones. Quieren 625 millones de dólares de Emergent, incluidos 20 millones de dólares en efectivo y ganancias de las acciones de Robinhood. Argumentaron que la compra de acciones de Robinhood por parte de Emergent, dirigida por Bankman-Fried debido a su participación del 90%, era independiente de cualquier irregularidad en FTX o Alameda. También dijeron que tenían derecho a recuperar los gastos profesionales incurridos mientras se defendían contra los intentos de Bankman-Fried de apoderarse de los activos de Emergent. Una demanda colectiva simultánea encabezada por abogados que representan al mayor grupo de acreedores de FTX, encabezado por Sunil Kavuri, sostiene que los activos confiscados, incluidas las acciones de Robinhood, deberían regresar a los clientes y alega que el patrimonio de los deudores tiene conflictos de intereses. Los abogados afirman que estos activos se derivan del fraude a los clientes de FTX y deberían distribuirse en especie. El patrimonio de los deudores de FTX insiste en que el tribunal de quiebras debería conceder su reclamo para maximizar la recuperación para las víctimas y minimizar los costos, trabajando con el gobierno para cumplir con las leyes federales. Cada presentación solicita una audiencia, pero el momento aún no está claro. Plan de 248 millones de dólares en un banco chino Un banco chino local descubrió un plan de malversación de 1.800 millones de yuanes o 248 millones de dólares que involucraba a dos ex ejecutivos y un ex accionista que utilizaron criptomonedas para lavar los fondos, informó el medio de noticias financieras chino The National Business Daily. Un sospechoso de 44 años de apellido Chen ayudó a ex ejecutivos del Banco de Huludao, un banco comercial en el noreste de China, a lavar al menos 250 millones de yuanes o 34,4 millones de dólares a través de sus cuentas bancarias, dijo el medio de comunicación. En agosto de 2020, Li Yulin, exsecretario del partido del Banco de Huludao, y Li Xiaodong, su expresidente en funciones, junto con otros dos sospechosos, supuestamente malversaron 2.600 millones de yuanes mediante la manipulación de activos improductivos. Al mes siguiente, estos sospechosos convirtieron ilegalmente más de 1.800 millones de yuanes en moneda extranjera y transfirieron los fondos a cuentas bancarias de la empresa en Hong Kong bajo su control, informó el medio de comunicación. En septiembre y octubre de 2020, estas personas compraron criptomonedas a través de grupos de WeChat, incluido uno llamado Longmen Inn, y luego utilizaron otros proveedores para vender las criptomonedas en el extranjero. Las ganancias se convirtieron a dólares estadounidenses y se enviaron a cuentas bancarias propiedad de empresas de Hong Kong. Chen fue declarado culpable de blanqueo de dinero, sentenciado a dos años y tres meses de prisión y una multa de 2 millones de yuanes. Los casos relacionados con la supuesta mala conducta de los otros ejecutivos se tramitaron en procedimientos judiciales separados. El jefe de criptomonedas de la SEC renuncia David Hirsch, jefe de la Unidad de Criptoactivos y Cibernéticos de la Comisión de Bolsa y Valores de EE. UU. en la División de Cumplimiento, dejó la agencia después de casi nueve años. Al anunciar su salida en LinkedIn, Hirsch no reveló sus planes futuros, pero dijo que compartiría más detalles después de tomarse un descanso. Antes de unirse a la SEC, Hirsch se desempeñó como miembro de la junta asesora legal del Centro de Ciberseguridad de la Universidad de Nueva York. URL de la publicación original: https://www.databreachtoday.com/cryptohack-roundup-kraken-certik-feud-over-zero-day-3m-a-25583
