De acuerdo con un análisis de Elementus, ladrones robaron 16 millones de dólares en tokens ERC20 y Ethereum en el hackeo reciente a la plataforma neozelandesa Cryptopia.
El análisis y los descubrimientos de Elementus se publicaron una semana después de que la plataforma anunciara públicamente que habían logrado frenar la brecha. En principio, habían comentado a sus usuarios que estaban realizando mantenimiento antes de admitir que habían ocurrido pérdidas “significativas” no especificadas.
Según la investigación, la información de la blockchain pública de Ethereum indica que los fondos salieron de dos de las billeteras principales de Cryptopia la mañana del 13 de enero.
Esa misma tarde, ambas billeteras habían sido vaciadas, y los fondos se enviaron a las 76,000 billeteras secundarias de la plataforma, un proceso que continuaría hasta horas de la mañana del 17 de enero. Al mismo tiempo, Cryptopia le informó al público acerca del incidente y les avisó a los cuerpos de seguridad.
En este sentido, Elementus indica que los atacantes robaron menos de 3.6 millones de ETH, en conjunto con más o menos 2.4 millones en Dentacoin, casi 2 millones de dólares en Oyster Pearl y más o menos 3 millones más en otros tokens no especificados.
Asimismo, la información sugiere que los hackers ya cambiaron alrededor de US$ 880,000 mediante otras casas de cambio, incluyendo gigantes de la industria como Binance, Huobi y HitBTC.
Por otra parte, el resto de los fondos aún se mantiene en dos billeteras que ya fueron identificadas como propiedad de los atacantes.
De acuerdo con los investigadores, el ataque se debió a vulnerabilidades en el código del contrato inteligente de la billetera, o bien a un acceso no autorizado a las credenciales de llaves privadas.
De esta forma, los ladrones obtuvieron acceso a más de 76,000 billeteras y se tomaron todo el tiempo necesario para enviar los fondos sin problemas. Además, el hecho de que el ataque tomara días y Cryptopia no decidiera actuar sugiere que la casa de cambio había perdido el acceso a sus propias billeteras.