Puntos clave
- Banana Gun, un popular bot de comercio de criptomonedas basado en Telegram, sufrió un hackeo de 3 millones de dólares que afectó a 11 usuarios debido a una vulnerabilidad en su oráculo de mensajes de Telegram.
- La empresa se ha comprometido a reembolsar íntegramente a todos los usuarios afectados con cargo a su tesorería sin vender ningún token, lo que demuestra su compromiso con la confianza y la seguridad de los usuarios.
Detalles del pirateo y víctimas
El 19 de septiembre de 2024, Banana Gun, un bot de comercio de criptomonedas muy utilizado que operaba a través de Telegram, fue víctima de un sofisticado hackeo. El ataque provocó transferencias no autorizadas desde las criptocarteras de los usuarios, lo que obligó a la empresa a desactivar temporalmente sus bots Ethereum Virtual Machine (EVM) y Solana para evitar más pérdidas.
A diferencia de las típicas estafas de criptomonedas que suelen dirigirse a inversores inexpertos, este ataque se centró específicamente en operadores experimentados y veteranos de las criptomonedas. Las víctimas, conocidas por su presencia social o su experiencia en el trading, presenciaron cómo el atacante transfería manualmente Ethereum (ETH) de sus carteras mientras utilizaban activamente el bot y recibían notificaciones.
Análisis de ataques y vulnerabilidad
Los informes iniciales sugerían que 36 usuarios habían perdido ETH por valor de casi 2 millones de dólares. Sin embargo, la investigación post mortem de Banana Gun reveló que el impacto real fue más concentrado pero más costoso, con 11 usuarios que perdieron un total de 3 millones de dólares.
El equipo de desarrollo de la compañía, junto con expertos externos, identificó una posible vulnerabilidad en el oráculo de mensajes de Telegram utilizado por el bot. Se cree que esta debilidad ha permitido el exploit, tal y como demuestran:
- La naturaleza manual de las transferencias en lugar de un drenaje guionizado
- Víctimas que reciben notificaciones in-bot de las transferencias no autorizadas
Respuesta y medidas de seguridad de Banana Gun
En respuesta al incidente, Banana Gun ha tomado varias medidas para abordar la situación y evitar que se repita en el futuro:
- Reembolso íntegro: La empresa se ha comprometido a reembolsar íntegramente a todos los usuarios afectados con cargo a su tesorería, sin vender tokens para cubrir las pérdidas.
- Seguridad reforzada:
- Retraso de 2 horas en los traslados
- Planes para añadir la autenticación de dos factores (2FA) en las transferencias
- Revisión exhaustiva de los sistemas back-end y front-end.
- Redistribución del back-end y cambio a nuevos servidores
- Colaboración externa: Banana Gun se ha asociado con Security Alliance, un equipo líder en seguridad web3, para la investigación y futuros pentesting.
- Transparencia: La empresa ha proporcionado un resumen detallado del incidente, demostrando su compromiso con la comunicación abierta con su base de usuarios.
Avanzar
A pesar del contratiempo, Banana Gun informa de que la actividad de los bots se ha mantenido alta, lo que interpretan como una señal de que los usuarios siguen confiando en ellos. Los bots EVM y Solana de la empresa vuelven a estar en línea con las nuevas medidas de seguridad.
Mientras el sector de las criptomonedas sigue lidiando con problemas de seguridad, este incidente sirve para recordar la importancia de contar con medidas de seguridad sólidas, incluso en plataformas destinadas a operadores experimentados. También pone de relieve la creciente sofisticación de los atacantes, que ahora tienen como objetivo el "dinero inteligente" en el espacio de las criptomonedas.
