Agentes de la amenaza en blockchain
Tiempo de lectura estimado: 9 minutos
Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer los principales agentes amenaza que nos encontramos en blockchain.
Agentes amenaza en ciberseguridad tradicional
Podemos hacer una clasificación de agentes según su motivación, podría resumirse así:
- Geopolítica/Inteligencia. Tradicionalmente se ha dicho que tienen Estados detrás (APT, amenaza persistentes avanzadas en inglés), aunque solo es una suposición por el gran despliegue económico y nivel de sofisticación que suelen tener. Sus objetivos suelen ser otros Estados y sus agencias de inteligencia y son caracterizados por su discreción, resiliencia y disponibilidad.
- Económico. El agente amenaza es considerado un cibercriminal, realizan campañas a nivel global para tener beneficio económico. Sus métodos suelen se el phishing o con archivos/apps maliciosas. Sus ataques son masivos, sin buscar la discreción.
- Ideológico. Lo denominamos hacktivista. Su objetivo es ser escuchados, a veces realizan acciones inofensivas aunque ruidosas. Si van acompañados de violencia o acciones dañinas contra sistemas pasan a la siguiente clasificación.
- Ideológico radical. Si esta motivación ideológica se radicaliza lo denominamos ciberterrorismo.
- Descontento: Alguien dentro de una organización que está descontento con ella y que realiza acciones contra la misma lo llamamos insider. Es algo muy preocupante para las organizaciones, ¿se puede monitorizar la “felicidad” de los empleados? ¿Hasta dónde llega su privacidad? Un ejemplo famoso es Edwar Snowden.
Antes de pasar al siguiente punto, una aclaración. Blockchain cuenta con múltiples usos como trazabilidad, económico… pero el más conocido dentro del económico es DeFi (dinero sin intermediarios, decentralized finance). El dinero llama a los criminales, por lo que la motivación económica es la principal (aunque también hay algún insider) y en la que nos vamos a focalizar.
Agentes amenaza en blockchain
Agentes externos
Los agentes externos suelen utilizar la ingeniería social, atacar a grupos para difundir el mensaje y luego atacar a individuos. Han visto que en DeFi hay gran poder económico y quieren explotarlo. Un ejemplo es el ataque Russian Booters, que tienen potentes máquinas de DDoS y escriben a la organización anunciándoles una vulnerabilidad crítica en su página web. Si les pagan, les dirán como solucionarla.
Antes de hacer ninguna acción comprobar primero con la persona, comprueba el historial con esa persona. Desconfía de mensajes urgentes, conversaciones no habituales…
Agentes internos
Los insiders dentro de un proyecto DeFi son conocidos como rug-pull (tirar de la alfombra). Se aprovechan de la confianza de la comunidad o del hype del proyecto.
- Rug-pull. Un proyecto ficticio, Carpet.Finance, saca un token llamado $CRP. Los dueños (anónimos) acuñan 10.000 millones de tokens y se quedan el 20%. Su web es atractiva y tokenizan envíos y los usuarios obtienen recompensas por comprar. Cuentan con una gran comunidad en Telegram (30.000 usuarios) incluso antes de sacar el token. Después, la organización solicita la auditoría del token y la pool de liquidez. Una vez el token sale, consigue 20M$ en la primera hora, y los usuarios empiezan a meter liquidez en la pool. En 10 días el precio sube de manera exponencial.
De repente el precio empieza a caer de repente. Los usuarios quieren recuperar su dinero y no pueden. La pool de liquidez está a 0 y los usuarios han perdido todo su dinero. ¿Qué ha pasado?
Los dueños se mantienen anónimos. Es recomendable no invertir en proyectos anónimos aunque no siempre se cumple, pueden ser estafas con gente que da la cara o proyectos a largo plazo sin saber quién es su creador (bitcoin). Aunque la web era atractiva, su white paper era muy pobre sin aspectos fundamentales y la mayoría de la comunidad de Telegram eran bots.
La auditoría obvió ciertos aspectos que no eran de seguridad, pero sí económicos, como la función (ejemplo) “emergencywithdraw”, con la que el dueño puede vaciar cualquier cuenta de usuario o la pool cuando quiera. Cuando consiguió 20M$ en la primera hora, nadie comprobó de dónde venían esos fondos. Los atacantes, que eran los propios dueños, pausaron el proyecto y ejecutaron la función emergency withdraw. Se ha llevado a cabo un rug-pull. - Simular ser un insider. Otra manera de robar fondos en proyectos DeFi es simular ser un insider. El atacante localiza el lanzamiento de un nuevo token y realiza un estudio del grupo de Telegram u otros grupos. Invita a todos esos participantes a un grupo fake y les dice que el lanzamiento va a ser adelantado, incluso con una web fake que parece legítima.
Se adelanta al proyecto original y crea un token con su mismo nombre y los usuarios presos del FOMO quieren comprar o añadir liquidez. Crea una pool de liquidez malicioso con el mismo nombre del token y retira todos los fondos de los usuarios.
Para evitar el rastreo de los fondos, ya que la blockchain es pública, utilizan plataformas basadas en Zero Knowledge Proof. Así, depositan una cantidad y se almacena en smart contracts aleatorios y el usuario recibe un código de resguardo. Con él y la dirección de destino son enviados los fondos a dicha cuenta. Son transacciones internas que no son públicas. Los 20M$ de los que hablábamos antes, se pueden pasar por aquí, y hace que se envíen de una cuenta y se repartan en muchas.
Conclusiones
- La ciberseguridad en blockchain cada vez se parece más a la ciberseguridad tradicional.
- Los agentes amenaza están principalmente motivados por un aspecto económico, aunque en un futuro es probable que se ataque a las empresas DeFi y no a los usuarios.
- Los insiders pueden realizar acciones que afecten a los usuarios motivados por el interés económico.
- El anonimato es fácil de conseguir.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o el Máster en Blockchain y Smart Contracts. Puedes ver la oferta de másteres desde aquí.
Ponente: Gabi Urrutia
Director de Seguridad en Halborn. Es jefe SOC Mando Conjunto Ciberespacio 3 años y tiene un Máster de Ciberseguridad por la Universidad Carlos III. Además cuenta con certificaciones de seguridad como OSCP, OSWP, CRTP, GAWN y otras.
¿Cuál es tu reacción?