¡F2Pool colabora en la prueba de seguridad de la llave privada! 500 monedas Bitcoin fueron robadas, 490 de ellas.

El 21 de diciembre, Wang Chun, cofundador de F2Pool (el mayor Pool de minería de Bitcoin del mundo), reveló en X su sorprendente experiencia de haber sido robado de 500 BTC. Esto fue provocado por el evento de “ataque de phishing de 50 millones de USDT” que fue muy debatido en la comunidad. Wang Chun citó el mensaje en cadena que la víctima envió al hacker y se burló de sí mismo, mencionando que el hacker se comportó de manera muy “generosa”, llevándose solo 490 monedas, dejándole 10 Bitcoin como dinero para vivir.

5000 millones USDT ataque de phishing operación absurda

(Fuente: Wang Chun)

Este incidente que llevó a Wang Chun a exponerse, es en sí mismo un desastre de seguridad valorado en 50 millones de dólares. Recientemente, una ballena / institución retiró 50 millones de USDT de Binance y primero “probó” transfiriendo 50 USDT a la dirección de recepción planificada. Como resultado, el atacante generó rápidamente una dirección similar que comenzaba y terminaba con 3 dígitos iguales, y transfirió 0.005 USDT de tokens de polvo a la víctima.

La víctima, al realizar la transferencia formal, aparentemente copió directamente la dirección de un registro de transacciones reciente, lo que llevó a que 50 millones de USDT se transfirieran en su totalidad a una dirección similar del atacante. Este método de ataque se conoce como “envenenamiento de direcciones” (Address Poisoning), aprovechando la costumbre de los usuarios de copiar direcciones de los registros de transacciones e insertando direcciones similares para inducir a errores en la transferencia.

Después del incidente de ataque, la víctima ha enviado un mensaje en cadena a los hackers: “Hemos presentado formalmente una querella criminal. Con la ayuda de las autoridades, agencias de ciberseguridad y varios protocolos de blockchain, hemos recopilado una gran cantidad de información sustancial y específica sobre tus actividades. La dirección de la billetera que controlas está actualmente bajo monitoreo las 24 horas. Esta es tu última oportunidad para resolver este asunto pacíficamente. Se te exige que devuelvas el 98% de los activos robados dentro de las 48 horas, puedes retener 1,000,000 USD como 'recompensa de hacker ético' por descubrir la vulnerabilidad.”

Esta estrategia de negociación de “primero la cortesía, luego la fuerza” es muy común en el círculo de las criptomonedas. Las víctimas suelen intentar negociar con los hackers, ofreciendo recompensas de hackers éticos a cambio de la devolución de los activos, ya que recuperar criptomonedas robadas es extremadamente difícil. Si los hackers se niegan, se rastrea a través de las fuerzas del orden y empresas de análisis de blockchain, pero la tasa de éxito sigue siendo muy baja.

El esquema de tres fases del ataque de envenenamiento de direcciones

Primera etapa, generar direcciones similares: El atacante utiliza herramientas para generar direcciones que tienen los primeros y últimos dígitos iguales a la dirección objetivo, con una apariencia extremadamente similar.

Fase dos, enviar tokens de polvo: enviar una cantidad muy pequeña (como 0.005 USDT) a la dirección de la víctima para que direcciones similares aparezcan en el registro de transacciones.

Tercera etapa, inducción de error de transferencia: Cuando la víctima copia la dirección desde el registro de transacciones, puede copiar erróneamente una dirección similar, lo que resulta en la transferencia de grandes fondos a la billetera del atacante.

El método de defensa contra este tipo de ataque es extremadamente simple: verificar cuidadosamente la dirección completa en cada transferencia, en lugar de solo mirar los primeros y últimos caracteres. Sin embargo, la pereza y los hábitos humanos hacen que este simple error ocurra repetidamente. Cuando el monto de la transferencia alcanza los 50 millones de dólares, el costo de esta negligencia es catastrófico.

Lógica absurda de la prueba de 500 monedas BTC de Wang Chun

Mientras la comunidad lamentaba a las víctimas de 5000 millones USDT, la auto-revelación de Wang Chun, cofundador de F2Pool, sorprendió a todos. “El año pasado, sospechaba que mi clave privada se había filtrado. Para confirmar si la seguridad de esa dirección estaba realmente comprometida, transferí 500 Bitcoins a ella.” La ridiculez de esta acción radica en que: claramente sospechando de la filtración de la clave privada, una persona normal debería detener inmediatamente el uso de esa dirección y transferir todos sus activos, pero Wang Chun, en cambio, realizó la operación inversa, transfiriendo una gran suma para 'probar'.

Esta lógica es similar a: sospechar que la cerradura de la casa está rota, en lugar de apresurarse a repararla, se deja un montón de efectivo en casa para ver si alguien lo roba. Si realmente es robado, no solo se verifica que la cerradura está rota, sino que también se pierde propiedad. El método de prueba de Wang Chun es completamente incomprensible para los expertos en seguridad, porque convierte la sospecha en certeza y convierte la pérdida potencial en una pérdida real.

Lo que me sorprende es que los hackers se comportaron de manera muy “generosa”, solo se llevaron 490 monedas y me dejaron 10 monedas de Bitcoin como gasto de subsistencia. El tono sarcástico de Wang Chun es aún más sorprendente. 490 monedas de Bitcoin valían aproximadamente 24.5 millones de USD en ese momento (febrero de 2024), y 10 monedas aproximadamente 500,000 USD. Para una persona común, 500,000 USD son suficientes para cambiar el destino, pero para Wang Chun, es solo “gasto de subsistencia”.

En relación con la dirección del hacker proporcionada por Wang Chun, 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, después de rastrear los registros históricos, se descubrió que el 12 de febrero de 2024, efectivamente hubo un registro de transferencia relacionado. Esto confirma que lo dicho por Wang Chun no es falso, no es una historia inventada, sino una gran pérdida que ocurrió realmente. Sin embargo, Wang Chun no ha proporcionado más explicaciones sobre este asunto, ni ha revelado cómo sospecha que se filtró la clave privada, ni ha indicado si ha presentado una denuncia para rastrear el caso, y aún menos ha explicado por qué eligió un método de prueba tan absurdo.

El mundo de los ricos y las lecciones dolorosas sobre la seguridad de las claves privadas

La revelación de Wang Chunyun, tan ligera y despreocupada, hace que todos en la comunidad suspiren: “El mundo de los ricos realmente no es algo con lo que los mortales puedan empatizar”. F2Pool, como uno de los mayores pools de minería de Bitcoin del mundo, su riqueza acumulada ciertamente supera la imaginación de la gente común. Sin embargo, esta actitud de “perder 25 millones de USD y aún así poder reír y conversar” es tanto una envidia como una advertencia para los inversores comunes.

La envidia es el estado de libertad financiera. Cuando la riqueza que posees supera con creces lo necesario para vivir, una pérdida de 25 millones de dólares, aunque dolorosa, no es mortal. Wang Chun puede mantenerse tan tranquilo, lo que indica que su riqueza total podría estar por encima de varios cientos de millones de dólares, la pérdida de 490 BTC es solo una pequeña parte de sus activos. Esta libertad financiera le permite asumir riesgos y pérdidas que son inimaginables para la mayoría.

La advertencia es la crueldad de la seguridad de las claves privadas. “Not your keys, not your coins” (si no tienes las claves privadas, no te pertenecen las monedas) es una regla de oro en el mundo de las criptomonedas. Una vez que la clave privada se filtra, no importa si eres un multimillonario o un inversor común, los activos se reducirán a cero en un instante. Lo más aterrador es que las transferencias de criptomonedas son irreversibles, no hay banco que pueda congelar, ni tribunal que pueda recuperar, y es casi imposible recuperar lo robado por los hackers.

El caso de Wang Chun revela varias lecciones clave. Primero, cuando se sospecha de una filtración de la clave privada, la acción correcta es desactivar inmediatamente esa dirección y transferir los activos a una nueva dirección, en lugar de realizar una prueba con una gran cantidad de fondos. Segundo, la gestión de claves privadas debe emplear medidas de seguridad como firmas múltiples, billeteras de hardware y separación entre frías y calientes, ya que el riesgo de una única clave privada es demasiado alto. Tercero, incluso los expertos de la industria, como los cofundadores de F2Pool, pueden cometer errores fatales en cuestiones de seguridad; nadie debe bajar la guardia.

Para los inversores comunes, esta historia ofrece una lección extremadamente valiosa pero costosa. Si sospechas de la filtración de la clave privada, debes inmediatamente: dejar de usar esa dirección, transferir los activos a una nueva dirección (después de una prueba con una pequeña cantidad antes de transferir una cantidad grande), verificar todas las posibles vías de filtración (virus informáticos, sitios de phishing, ingeniería social), considerar presentar un informe y buscar la ayuda de una empresa de seguridad profesional. Absolutamente no hagas como Wang Chun, que transfirió grandes sumas para “probar”, porque puede que no tengas su capacidad financiera para soportar pérdidas.

El comportamiento del hacker de “generosamente” dejar 10 monedas BTC también merece análisis. Esto podría ser una táctica psicológica del hacker: vaciar completamente podría enfurecer a la víctima, llevándola a rastrear sin importar el costo, pero dejar un poco de “gastos de vida” podría hacer que la víctima elija aceptar la derrota. Para Wang Chun, que posee cientos de millones de activos, perder 490 monedas aunque duela, no vale la pena gastar una gran cantidad de tiempo y energía en el rastreo. El hacker ha captado con precisión esta psicología, llevándose la gran mayoría de los activos y reduciendo el riesgo de ser rastreado a fondo.

Este incidente contrasta con el ataque de phishing de 50 millones de USDT. En el primer caso, la víctima copió accidentalmente una dirección incorrecta, mientras que en el segundo, la víctima realizó la transferencia a pesar de conocer el riesgo. El punto en común entre ambos es: el error humano es la principal causa de pérdida de activos criptográficos, superando con creces los ataques a intercambios o las vulnerabilidades de contratos inteligentes. Por más avanzada que sea la tecnología, no puede defenderse de la negligencia y la psicología de la suerte humanas.

Para la industria de las criptomonedas, estos casos advierten a todos los participantes: la seguridad de las claves privadas es una habilidad fundamental de vida o muerte. No importa si eres un pequeño inversor que posee 0.1 BTC o una ballena que posee 500 BTC, una vez que la clave privada se filtra o se envía a la dirección incorrecta, las consecuencias son irreversibles. En este mundo donde “el código es la ley”, no hay antídoto para el arrepentimiento; la única protección es verificar varias veces, dudar un poco más y ser un poco más cauteloso antes de cada operación. La lección de 25 millones de dólares de Wang Chun ha impartido a toda la industria una cara lección de seguridad, cara pero profunda.