El mayor evento de seguridad en la historia de Ethereum: la cartera fría de una plataforma de intercambio sufrió una pérdida de 1.460 millones de dólares.
El 21 de febrero de 2025 a las 02:16:11 UTC, la cartera fría de Ethereum de una conocida plataforma de intercambio fue víctima de un robo de fondos debido a una actualización maliciosa del contrato. El CEO de la plataforma declaró que los atacantes engañaron al firmante de la cartera fría para que firmara erróneamente una transacción maliciosa mediante técnicas de phishing. Esta transacción fue disfrazada como una operación normal, con la interfaz mostrando transacciones regulares, pero los datos enviados al dispositivo de hardware habían sido alterados con contenido malicioso. Los atacantes lograron obtener tres firmas válidas, reemplazando el contrato de implementación de la cartera multi-firma Safe por una versión maliciosa, lo que resultó en el robo de fondos. Este incidente causó pérdidas de aproximadamente 1,460 millones de dólares, convirtiéndose en el evento de seguridad más grande en la historia de Web3.0.
Análisis del proceso de ataque
El atacante desplegó dos contratos maliciosos que contenían una puerta trasera para la transferencia de fondos y funciones de actualización de contratos tres días antes del evento.
El 21 de febrero de 2025, los atacantes engañaron a los propietarios de tres billeteras de múltiples firmas para que firmaran transacciones maliciosas, actualizando el contrato de implementación de Safe a una versión maliciosa con puerta trasera.
El valor del campo "operation" en la transacción de ataque es "1", lo que indica que el contrato GnosisSafe ejecuta "deleGatecall".
Esta transacción ejecutó una llamada delegada a otro contrato desplegado por el atacante, que contiene una función "transfer()", que modifica el primer espacio de almacenamiento del contrato al ser llamada.
Al modificar el primer espacio de almacenamiento del contrato Gnosis Safe, el atacante cambió la dirección del contrato de implementación (es decir, la dirección "masterCopy").
El método de actualización de contrato utilizado por el atacante está diseñado de forma especial para evitar despertar sospechas. Desde la perspectiva del firmante, los datos firmados parecen una simple llamada a la función "transfer(address, uint256)", en lugar de una función "actualizar" sospechosa.
El contrato de implementación maliciosa después de la actualización contiene las funciones de puerta trasera "sweepETH()" y "sweepERC20()", los atacantes transfirieron todos los activos dentro de la Cartera fría llamando a estas funciones.
Análisis de la raíz de la vulnerabilidad
La causa fundamental de este incidente es un ataque de phishing exitoso. El atacante engañó al firmante de la billetera para que firmara datos de transacción maliciosos, lo que provocó que el contrato fuera actualizado de manera maliciosa, permitiendo al atacante controlar la cartera fría y transferir todos los fondos.
Según la explicación del CEO de la plataforma, en el momento del incidente, el equipo estaba llevando a cabo una operación rutinaria de transferencia de activos entre la Cartera fría y la Billetera. Él indicó que todas las direcciones y datos de transacción que los firmantes veían en la interfaz eran correctos y que la URL había sido verificada oficialmente. Sin embargo, cuando los datos de la transacción se enviaron a la Billetera de hardware para su firma, el contenido real había sido alterado. El CEO admitió que no se verificaron nuevamente los detalles de la transacción en la interfaz del dispositivo de hardware.
Actualmente, no hay un consenso sobre cómo los atacantes manipularon la interfaz. Hay evidencia proporcionada por analistas en la cadena que sugiere que este ataque podría haber sido planeado y ejecutado por una conocida organización hacker.
Lecciones aprendidas y recomendaciones de prevención
Este evento tiene similitudes con el robo de 50 millones de dólares que sufrió una plataforma DeFi el 16 de octubre de 2024. Ambos incidentes involucran la invasión de dispositivos y la manipulación de interfaces. Dado que este tipo de ataques son cada vez más frecuentes, debemos centrarnos en los siguientes dos aspectos:
1. Prevención de intrusiones en dispositivos
Fortalecer la seguridad de los dispositivos: implementar políticas de seguridad de puntos finales estrictas y desplegar soluciones de seguridad avanzadas.
Utilizar dispositivos de firma dedicados: realizar la firma de transacciones en un entorno aislado, evitando el uso de dispositivos de uso múltiple.
Utilizar un sistema operativo temporal: configurar un sistema operativo no persistente para operaciones críticas, asegurando un entorno limpio.
Realizar simulacros de phishing: realizar simulacros de ataques de phishing de manera regular a personas de alto riesgo para aumentar la conciencia sobre la seguridad.
Realizar ejercicios de ataque y defensa de equipo rojo: simular escenarios de ataque reales, evaluar y fortalecer las medidas de seguridad existentes.
2. Evitar el riesgo de firma ciega
Selecciona cuidadosamente la plataforma de interacción: interactúa solo con plataformas confiables y utiliza marcadores oficiales para evitar enlaces de phishing.
Verificación secundaria de la billetera de hardware: confirme cuidadosamente cada detalle de la transacción en la pantalla del dispositivo de hardware.
Simulación de operaciones: simular resultados de operaciones antes de firmar, verificar su corrección.
Utilizar herramientas de línea de comandos: reducir la dependencia de la interfaz gráfica y obtener una vista de datos de transacciones más transparente.
Principio de terminación ante anomalías: al detectar cualquier anomalía, detener inmediatamente la firma e iniciar una investigación.
Implementar la verificación de doble dispositivo: utilizar un dispositivo independiente para verificar los datos de la transacción y generar un código de verificación de firma legible.
Este incidente resalta nuevamente las importantes vulnerabilidades en la seguridad operativa de la industria Web3.0. A medida que las técnicas de ataque continúan evolucionando, las plataformas de intercambio y las instituciones de Web3.0 deben mejorar integralmente su nivel de protección de seguridad, manteniéndose alerta ante la evolución continua de las amenazas externas.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
9
Republicar
Compartir
Comentar
0/400
SignatureAnxiety
· 08-18 22:13
¿Por qué es tan difícil firmar?
Ver originalesResponder0
AllInDaddy
· 08-18 20:46
Vaya, esta gran pérdida
Ver originalesResponder0
ForkThisDAO
· 08-17 20:37
Otro intercambio condenado.
Ver originalesResponder0
RetiredMiner
· 08-17 03:40
¿La estafa de pig butchering ha evolucionado a una versión de cartera fría?
Ver originalesResponder0
GasGuru
· 08-17 03:39
¡Vamos a hacerlo! El multisig ya no es confiable.
Ver originalesResponder0
SolidityStruggler
· 08-17 03:36
Todos los días se habla de seguridad, todos los días se roba.
El mayor incidente de seguridad en la historia de Ethereum: robaron 14.6 millones de dólares de la cartera fría del intercambio.
El mayor evento de seguridad en la historia de Ethereum: la cartera fría de una plataforma de intercambio sufrió una pérdida de 1.460 millones de dólares.
El 21 de febrero de 2025 a las 02:16:11 UTC, la cartera fría de Ethereum de una conocida plataforma de intercambio fue víctima de un robo de fondos debido a una actualización maliciosa del contrato. El CEO de la plataforma declaró que los atacantes engañaron al firmante de la cartera fría para que firmara erróneamente una transacción maliciosa mediante técnicas de phishing. Esta transacción fue disfrazada como una operación normal, con la interfaz mostrando transacciones regulares, pero los datos enviados al dispositivo de hardware habían sido alterados con contenido malicioso. Los atacantes lograron obtener tres firmas válidas, reemplazando el contrato de implementación de la cartera multi-firma Safe por una versión maliciosa, lo que resultó en el robo de fondos. Este incidente causó pérdidas de aproximadamente 1,460 millones de dólares, convirtiéndose en el evento de seguridad más grande en la historia de Web3.0.
Análisis del proceso de ataque
El atacante desplegó dos contratos maliciosos que contenían una puerta trasera para la transferencia de fondos y funciones de actualización de contratos tres días antes del evento.
El 21 de febrero de 2025, los atacantes engañaron a los propietarios de tres billeteras de múltiples firmas para que firmaran transacciones maliciosas, actualizando el contrato de implementación de Safe a una versión maliciosa con puerta trasera.
El valor del campo "operation" en la transacción de ataque es "1", lo que indica que el contrato GnosisSafe ejecuta "deleGatecall".
Esta transacción ejecutó una llamada delegada a otro contrato desplegado por el atacante, que contiene una función "transfer()", que modifica el primer espacio de almacenamiento del contrato al ser llamada.
Al modificar el primer espacio de almacenamiento del contrato Gnosis Safe, el atacante cambió la dirección del contrato de implementación (es decir, la dirección "masterCopy").
El método de actualización de contrato utilizado por el atacante está diseñado de forma especial para evitar despertar sospechas. Desde la perspectiva del firmante, los datos firmados parecen una simple llamada a la función "transfer(address, uint256)", en lugar de una función "actualizar" sospechosa.
El contrato de implementación maliciosa después de la actualización contiene las funciones de puerta trasera "sweepETH()" y "sweepERC20()", los atacantes transfirieron todos los activos dentro de la Cartera fría llamando a estas funciones.
Análisis de la raíz de la vulnerabilidad
La causa fundamental de este incidente es un ataque de phishing exitoso. El atacante engañó al firmante de la billetera para que firmara datos de transacción maliciosos, lo que provocó que el contrato fuera actualizado de manera maliciosa, permitiendo al atacante controlar la cartera fría y transferir todos los fondos.
Según la explicación del CEO de la plataforma, en el momento del incidente, el equipo estaba llevando a cabo una operación rutinaria de transferencia de activos entre la Cartera fría y la Billetera. Él indicó que todas las direcciones y datos de transacción que los firmantes veían en la interfaz eran correctos y que la URL había sido verificada oficialmente. Sin embargo, cuando los datos de la transacción se enviaron a la Billetera de hardware para su firma, el contenido real había sido alterado. El CEO admitió que no se verificaron nuevamente los detalles de la transacción en la interfaz del dispositivo de hardware.
Actualmente, no hay un consenso sobre cómo los atacantes manipularon la interfaz. Hay evidencia proporcionada por analistas en la cadena que sugiere que este ataque podría haber sido planeado y ejecutado por una conocida organización hacker.
Lecciones aprendidas y recomendaciones de prevención
Este evento tiene similitudes con el robo de 50 millones de dólares que sufrió una plataforma DeFi el 16 de octubre de 2024. Ambos incidentes involucran la invasión de dispositivos y la manipulación de interfaces. Dado que este tipo de ataques son cada vez más frecuentes, debemos centrarnos en los siguientes dos aspectos:
1. Prevención de intrusiones en dispositivos
2. Evitar el riesgo de firma ciega
Este incidente resalta nuevamente las importantes vulnerabilidades en la seguridad operativa de la industria Web3.0. A medida que las técnicas de ataque continúan evolucionando, las plataformas de intercambio y las instituciones de Web3.0 deben mejorar integralmente su nivel de protección de seguridad, manteniéndose alerta ante la evolución continua de las amenazas externas.