El exploit de Bitkeep que se produjo el 26 de diciembre utilizó sitios de phishing para engañar a los usuarios para que descargaran billeteras falsas, según un informe del proveedor de análisis de blockchain; OKLink.

El informe afirma que el atacante creó varios sitios web falsos de Bitkeep que contenían un archivo APK que parecía la versión 7.2.9 del monedero Bitkeep. Cuando los usuarios «actualizaban» sus billeteras descargando el archivo malicioso, sus claves privadas o palabras semilla eran robadas y enviadas al atacante.

【12-26 #BitKeep Hack Event Summary】
1/n

According to OKLink data, the bitkeep theft involved 4 chains BSC, ETH, TRX, Polygon, OKLink included 50 hacker addresses and total Txns volume reached $31M.

— OKLink (@OKLink) December 26, 2022

El informe no dice cómo el archivo malicioso robó las claves de los usuarios de forma no cifrada. Sin embargo, es posible que simplemente pidiera a los usuarios que volvieran a introducir sus palabras clave como parte de la «actualización», que el software podría haber registrado y enviado al atacante.

Una vez que el atacante disponía de las claves privadas de los usuarios, desestatizaba todos los activos y los vaciaba en cinco monederos bajo su control. A partir de ahí, intentaron retirar parte de los fondos utilizando exchanges centralizados: 2 ETH y 100 USDC se enviaron a Binance, y 21 ETH se enviaron a Changenow.

El ataque se produjo en cinco redes diferentes: BNB Chain, Tron, Ethereum y Polygon, y los puentes de BNB Chain Biswap, Nomiswap y Apeswap se utilizaron para puentear algunos de los tokens a Ethereum. En total, en el ataque se sustrajeron criptomonedas por valor de más de USD 13 millones.

​​​​​​​Aún no está claro cómo el atacante convenció a los usuarios para que visitaran los sitios web falsos. El sitio web oficial de BitKeep proporcionaba un enlace que enviaba a los usuarios a la página oficial de Google Play Store para la aplicación, pero no contiene ningún archivo APK de la aplicación.

El ataque a BitKeep fue reportado por primera vez por Peck Shield a las 7:30 a.m. UTC. En ese momento, se achacó a un «hackeo de la versión APK». Este nuevo informe de OKLink sugiere que el APK hackeado procedía de sitios maliciosos, y que el sitio web oficial del desarrollador no ha sido vulnerado.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.