Se fueron — y regresaron por 120 millones de dólares: exdesarrolladores usaron su acceso al código para atacar la plataforma blockchain Elrond
Empleados robaron criptomonedas aprovechando la ventana entre un fallo y su corrección.
En Rumanía se destapó un gran esquema contra la plataforma blockchain Elrond (MultiversX). Según los documentos del caso, al ataque estuvieron implicados antiguos empleados del proyecto. Dos de ellos reconocieron su culpabilidad y recibieron penas condicionales. Un tercer exempleado no se declaró culpable; su caso fue remitido a juicio.
La plataforma MultiversX, anteriormente conocida como Elrond, respalda la criptomoneda EGLD. Fue con ella con la que se relacionó el ataque, que la investigación estimó en 120,8 millones de dólares. Según la versión de los fiscales, los atacantes explotaron una vulnerabilidad en contratos inteligentes de Elrond y transfirieron 1,65 millones de EGLD a direcciones bajo su control.
El ataque ocurrió la noche del 5 al 6 de junio de 2022. Según los documentos judiciales, los participantes crearon seis contratos inteligentes maliciosos y, mediante ellos, afectaron a tres contratos inteligentes de Elrond responsables del intercambio entre EGLD y la versión envuelta de la moneda, WEGLD. El sistema permitió realizar intercambios sin un activo equivalente de contraparte.
El tribunal indica que mediante tres operaciones los atacantes retiraron 400 000 EGLD, 800 000 EGLD y 450 000 EGLD. En ese momento un EGLD valía 73,24 dólares, por lo que el daño total se estimó en más de 120 millones de dólares.
Las consecuencias superaron rápidamente el robo en sí. Debido a la extracción de fondos se alteró la relación 1:1 entre EGLD y WEGLD. La liquidez en la plataforma de intercambio cayó drásticamente y el precio de EGLD en un momento descendió por debajo de 5 dólares. Fue necesario detener la plataforma por falta de liquidez.
La investigación considera que los implicados intentaron ocultar el origen de los fondos robados. Para ello intercambiaron EGLD por otros activos digitales, incluyendo WEGLD, USDC y UTK, y luego planearon transferir los fondos a la red Ethereum. Esa ruta debía dificultar los intentos de localizar y recuperar los activos.
Un representante de Elrond dijo a los fiscales que la posible vulnerabilidad en los contratos inteligentes se conoció el 2 de junio de 2022 después de un aviso de la comunidad. Al día siguiente la compañía reconoció el alto riesgo y empezó a preparar una corrección. Para comprobar e implementar la solución se necesitaban alrededor de 72 horas, y el despliegue en la red principal estaba previsto para el 6 de junio.
Según la empresa, el ataque ocurrió justo antes de aplicar la corrección. La vulnerabilidad permitía, mediante contratos inteligentes creados ad hoc, forzar al sistema a efectuar la transferencia de la criptomoneda sin un intercambio completo con la otra parte.
Los exempleados fueron señalados como sospechosos poco después del incidente. La compañía afirmó que la vulnerabilidad se discutía en los chats de trabajo de Elrond, y que los presuntos implicados tenían acceso a información interna y poseían los conocimientos técnicos necesarios. Parte de los implicados había trabajado previamente en contratos inteligentes, y dos abandonaron el equipo en circunstancias que la empresa consideró sospechosas.