🚨Atomic Wallet: Te están robando🚨
Robos masivos en esta Wallet
Ya es la segunda vez este año que mando las alarmas, primero fue con unos robos en Ethereum, que no sabemos aún a que se debe y ahora le toca a Atomic Wallet.
Si estás leyendo esto desde Telegra, abre este enlace para suscribirte.
Lamento saltarme la regla de oro de un-correo-por-semana
Pero antes, si este tema no te gusta o no te importa, decirte que acabo de publicar la review de OneKey KeyTag, otro innovador sistema para conservar tu semilla.
Dicho esto, empezamos.
Todo empieza el 3 de Junio de 2023:
Atomic Wallet, vía Twitter:
Al parecer se están produciendo robos que superan las incidencias habituales.
Rápidamente entra en acción ZachXBT, que comienza a pedir a todos las víctimas que le hagan llegar el transaction hash de los fondos robados. Quiere analizarlos. Para analizar estas cosas puede usar cosas como Arkham Intelligence, una herramienta de análisis on-chain para trazar movimientos de criptomonedas. Puedes probarlo aquí.
Pero antes, si no sabes que es Atomic Wallet, te lo explico:
Atomic Wallet es una software wallet de criptomonedas descentralizada que admite más de 300 monedas y tokens. Es conocida por su amplio soporte para una variedad de criptomonedas y su interoperabilidad entre plataformas. Tiene un swap dentro de su propia App que permite hacer intercambios entre cadenas diferentes. También tiene un servicio de compra-venta.
Tiene soporte en Windows, macOS, Linux, Android, e iOS.
No es Open Source.
Días más tarde Atomic Wallet dice que menos de un 1% de sus usuarios mensuales (se entiende aquellos que de media usan la App al mes) han sido robados. A mi me parece una cantidad enorme. En su propia web dicen:
Que estamos de acuerdo que no serán esos 5.000.000 los que usan mensualmente la App. Pero claro, leyendo por debajo dices, quizás no roban más porque no se usa más (mensualmente).
ZachXBT
Poco se sabe de ZachXBT, salvo que se dedica a mantener esto más seguro. Hace unos meses ya vimos cómo desentramaba el robo de unos NFts entre dos usuarios, y gracias a una investigación que el comenzó, el FBI recuperaba $260.000.
Pues bien, ZachXBT está otra vez en marcha. Por ahora ha ido recopilando todas las direcciones que han alzado la voz para montar árboles como estos:
Tiene cuantificado, gracias a víctimas que han sufrido robos y a robos de fondos que caen en las mismas direcciones más de 35 millones de dólares. Y ojo que esto es relevante, las cinco direcciones con más fondos sustraídos suman unos 17 millones de dólares. 🤯 ¿Quien guardo eso en una Software Wallet? ¿Y encima de código cerrado?
También ha comentado que este hack por el método de movimiento de fondos una vez robados podría ser obra del grupo de hackers Lazarus Group/DPRK:
Lazarus Group, también conocido como APT38 o Hidden Cobra, es un grupo de ciberdelincuencia que se cree que está patrocinado por el estado de Corea del Norte. El grupo ha estado activo desde al menos 2009 y ha sido responsable de una serie de ciberataques notables.
DPRK es la abreviatura de Democratic People's Republic of Korea, que es el nombre oficial de Corea del Norte. En este contexto, Lazarus Group/DPRK probablemente se refiere al hecho de que se cree que Lazarus Group está patrocinado por el estado de Corea del Norte.
Por la información obtenida de las victimas, no nos encontramos ante un ataque de phising, dónde el usuario haya sido engañado para entrar en una web que aparenta ser lo que no es. Tweet.
Al parecer el robo podía ser selectivo, ya que estaban seleccionando cuentas con gran cantidad de fondos. Tweet.
Este hilo está lleno de gente indicando sus pérdidas, se ven usuarios que han perdido miles de dólares en diferentes cadenas, Ethereum, ADA, BSC y Bitcoin.
SlowMist
Slowmist es una empresa de seguridad que se ha puesto a estudiar este asunto. Han habilitado un sitio web, que aunque parece no estar actualizado, de acuerdo a los datos de ZachXBT también es interesante. Aunque es más interesante como han plasmado el método para hacer los robos (Tweet):
De su web vemos cómo iban los datos a 5 de Junio (espero que los actualicen).
Robos en multiples cadenas, probablemente de los mismos usuarios, ya que muchos de ellos han reportado haber visto desaparecer sus fondos de varias blockchains.
TayVano - Taylor Monahan - Desarrolladora de Metamask
Al parecer, por cómo se están ejecutando los robos, la vulnerabilidad residiría en la propia software wallet, y no tanto en errores masivos cometidos por los usuarios, por ejemplo phising.
Taylor indica que o bien alguien reemplazó un archivo de instalación legítimo con uno contaminado y que está de alguna manera obteniendo información de las wallets que lo usan.
O por el contrario a pesar de que se indica lo opuesto en las condiciones de Atomic Wallet, se estaban almacenando datos de acceso de los usuarios que han sido obtenidos por un actor malicioso.
Joko, trabajando actualmente para Bitbox, creadores del Bitbox02
Indicaba en un tweet que probablemente Atomic Wallet había ejecutado una actualización en la que las claves privadas eran enviadas al hacker en el momento de logearse.
Culpa, en parte, a las actualizaciones automáticas que se producen en dispositivos móviles. Además en su tweet incorporaba esta captura:
Un usuario habiendo perdido más de 50.000$ en diferentes cadenas indicaba que lo único que hizo fue logearse en su wallet y un minuto después los fondos habían desaparecido.
Conclusiones y medidas a tomar
Si eres usuario de Atomic Wallet, lo que yo haría:
No abras la aplicación, en cualquiera de sus sistemas. No se ha establecido un patrón o sistema afectado. Puede ser Windows, como Android o cualquier otro de los disponibles.
Deberías tener una copia de la seed. Restáurala en otra wallet. Podrías hacerlo en Metamask. Que tus fondos se encuentren aún en esa wallet no significa que estén seguros. Muy probablemente no lo estén. En caso de duda envía los fondos a un Exchange. No se han reportado robos relacionados con Atomic Wallet y Exchanges.
Genera una semilla en la que tu seas el 99,99% de la aleatoriedad de su generación y no confies en semillas generadas por terceros. Mira lo que pasó con TrustWallet.
De nuevo, lamento saltarme la regla de oro de un-correo-por-semana. Considero que es importante.
Comparte con quien creas que es usuario de Atomic Wallet. Actualizaciones sobre este evento ya serán incluidas en los post de los lunes.
Buen informe
Gracias!