Ayer, la startup israelí CoinDash, dedicada al intercambio de la criptomoneda Ether, lanzó una Initial Coin Offering (ICO). Se trata de una campaña muy similar a un crowdfunding, en la que los inversionistas envían fondos a una dirección provista por la compañía para ayudar a constituirla.
Así, la entidad evita el riguroso proceso que se les exige a los capitalistas de riesgo o a los bancos. A cambio, los inversionistas se convierten en accionistas del proyecto o reciben tokens intercambiables por otras criptomonedas.
Pero algo salió mal en esta ICO. Apenas tres minutos después de que se activara la campaña, un atacante robó más de 7 millones de dólares en tokens de Ether. ¿Cómo lo hizo? Compretió el sitio de CoinDash, gracias a lo cual pudo cambiar la dirección de destino del dinero a su propia billetera.
más de 2.000 inversores enviaron ETH a la dirección maliciosa
CoinDash notó rápidamente que algo andaba mal y que su sitio había sido comprometido, por lo que pidió a los usuarios que dejaran de enviar Ethereum a la dirección publicada.
Sin embargo, fue demasiado tarde: el atacante ya había logrado que 43438,455 Ether sean depositados en su cuenta.
En un comunicado en su sitio web, CoinDash dijo:
La venta abierta de tokens de CoinDash Token se abrió al público el 17 de julio a las 13:00PM GMT, comenzando con un adelanto de 15 minutos para los contribuyentes incluidos en la lista blanca. Durante esos 15 minutos, 148 contribuyentes de la lista enviaron 39.000 ETH al contrato inteligente de venta de tokens, que estaban aseguradas con una billetera multifirma.
En el momento en que la venta de tokens se hizo pública, el sitio de CoinDash fue comprometido y una dirección maliciosa reemplazó a la dirección de venta de tokens de CoinDash. Como resultado, más de 2.000 inversores enviaron ETH a la dirección maliciosa. Los ETH robados suman en total 37.000.
Según The Hacker News, el sitio de CoinDash estuvo offline ayer durante un tiempo mientras se resolvía el incidente. Entre tanto, la compañía les está pidiendo a los afectados que envíen la información de su caso para recibir los tokens que les corresponden.
Además, el sitio informa que esta no es la primera vez que se compromete una ICO: el año pasado, atacantes se robaron el equivalente a 50 millones de dólares tras explotar vulnerabilidades en el código de The DAO.
Por lo tanto, podemos concluir que el mundo de las criptomonedas, lamentablemente, ha abierto un nuevo escenario de ataque. Si los atacantes saben que habrá una ICO, buscarán la forma de aprovecharlo con fines maliciosos, como sucedió en este caso.
Explotar vulnerabilidades en el sitio y cambiar la dirección de destino de las inversiones le permitió a este criminal obtener ganancias millonarias, por lo cual podemos esperar que vuelvan a repetirse escenarios similares.
¿Qué lección nos deja el caso? La importancia de desarrollar sitios web con la seguridad en mente, para dificultar la explotación de vulnerabilidades y el acceso no autorizado.