Bitcoin: hackers de Twitter usaron BitPay y Coinbase

• Hackeo de Twitter comprometió la seguridad de miles de cuentas en la red social para promover una estafa para robar Bitcoin (BTC). 
• Los hackers recibieron Bitcoin en direcciones con transacciones a Coinbase y BitPay.

Twitter acaba de experimentar probablemente uno de los peores hackeos a una red social. Ayer, 15 de julio, las cuentas de miles de personalidades del entretenimiento, empresarios, empresas y otros fueron hackeadas para promover una estafa para robar Bitcoin (BTC). Entre los afectados está el CEO de Tesla, Elon Musk; Bill Gates; el expresidente de los Estados Unidos, Barack Obama; Kim y Kanye West, entre muchos otros.

Algunas de las cuentas hackeadas, como la del intercambio de criptomonedas Gemini, tenían medidas de seguridad secundarias. El co-fundador y CEO del intercambio, Tyler Winklevoss, dijo que la cuenta de Gemini tenía activada la verificación de dos factores (2FA). Sin embargo, esto no afectó la eficiencia del ataque y ha llevado a pensar que los hackers tenían acceso a herramientas internas de Twitter. El co-fundador del custodio Casa, James Loop, afirmó que los atacantes tenían acceso de raíz (root level access) a la red social.

Una vez hackeada las cuentas, los atacantes publicaron un mensaje de supuesta solidaridad por la pandemia coronavirus (Covid-19). El mensaje ofrecía una de promoción con Bitcoin para ayudar a «la comunidad» de los usuarios, como se muestra en la imagen de abajo. El mensaje ofrecía una dirección de una cartera a la que los usuarios debían enviar Bitcoin.

Destino del Bitcoin robado

La compañía de análisis de datos Whitestream hizo una investigación y detectó transacciones que provenían de direcciones asociadas a los intercambios BitPay y Coinbase. Esta dirección, afirman los investigadores, fue una de las primeras que usaron los hackers para recibir los fondos robados en BTC. Whitestream afirmó lo siguiente, etiquetando a Coinbase y BitPay (traducido libremente):

Por favor, compruebe la siguiente dirección de Bitco_in que recibió B_itcoin de la dirección de anuncio de la estafa del atacante: 1_Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuy_F

Aunque los atacantes usaron diferentes direcciones, la que se menciona en el tweet de Whitestream tiene la mayoría de los fondos. Los hackers usaron la dirección de formato antiguo mencionada, «1_Ai52». A partir de esto, los investigadores pudieron determinar que la dirección pertenece a carteras afiliadas a los intercambios BitPay y Coinbase. Los atacantes entonces usaron una dirección diferente con el formato Bech32 para atacar cuentas no relacionadas con criptomonedas. En el momento de la publicación, los hackers han obtenido unos 140.000 dólares o 15 BTCs. Además, los investigadores rastrearon 3 transacciones desde esta dirección, antes del ataque, a Coinbase y BitPay y también al intercambio CoinPayments.

Los investigadores han especulado sobre las direcciones usadas por los hackers. Sin embargo, no hay determinado un motivo especifico por el que los atacantes hicieron las transacciones hacia los intercambio, ni el motivo detrás de la elección de direcciones Bitcoin antiguas. En general, da la impresión de que los atacantes experimentaron con las direcciones y las transacciones antes de dar el golpe. Lo último se infiere por la falta de herramientas de anonimato y las opciones más eficientes que han planteado miembros de la comunidad de criptomonedas y que le habrían dado mayores ganancias a los atacantes.

La red social Twitter ha recibido una gran cantidad de ataques en las últimas 24 horas. Especialmente, miembros de la comunidad de criptomonedas han señalado la futilidad de los sistemas centralizados para brindar seguridad a sus usuarios. La respuesta de Twitter ha sido relativamente lenta, probablemente por lo masivo del ataque. El CEO de Twitter y entusiasta de Bitcoin, Jack Dorsey, compartió los resultados de las investigaciones iniciales.

De acuerdo con Twitter, el hackeo fue un «ataque coordinado de ingeniería social». Además, Twitter reveló que sus empleados fueron los primeros afectados por los hackers y después usados para obtener acceso a las cuentas. Twitter continuará investigando para determinar si los atacantes cometieron otros actos maliciosos. Mientras tanto, han limitado la funcionalidad de algunas cuentas para continuar con la investigación. Twitter prometió nuevas actualizaciones próximamente.