Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 209Phishing / Ingeniería social

Drenaje del oráculo de Telegram en Banana Gun

Un fallo del oráculo de mensajes de Telegram permitió drenar $3M de 11 usuarios de Banana Gun vía transferencias manuales. Víctimas reembolsadas.

Fecha
Víctima
Banana Gun users
Cadena(s)
Ethereum
Estado
Recuperado

El 19 de septiembre de 2024, el popular bot de trading cripto basado en Telegram Banana Gun sufrió un exploit altamente dirigido que drenó aproximadamente 3 millones de dólares de 11 wallets de usuarios — la mayoría de ellos traders experimentados de "smart money". Los atacantes explotaron una vulnerabilidad en el oráculo de mensajes de Telegram que el bot usaba para validar los comandos de los usuarios. Banana Gun reembolsó plenamente a los usuarios afectados desde la tesorería corporativa.

Qué ocurrió

Banana Gun era, en septiembre de 2024, uno de los mayores bots de trading DeFi basados en Telegram, habiendo procesado más de $6,3 mil millones en volumen de trading a través de casi 279.000 usuarios. El bot operaba:

  1. Recibiendo comandos de usuario a través del chat de Telegram (comprar este token, vender ese otro, etc.).
  2. Verificando el comando vía la API de Telegram.
  3. Ejecutando la transacción on-chain correspondiente desde una wallet del usuario gestionada por el bot.

El ataque explotó el segundo paso. El oráculo de mensajes de Telegram — el mecanismo del bot para probar "este comando vino del usuario legítimo de Telegram" — tenía una vulnerabilidad que permitió al atacante inyectar mensajes forjados que el bot interpretaba como comandos legítimos de transferencia de la víctima, aunque la víctima no los hubiera enviado.

El targeting fue distintivo:

  • 11 víctimas, en su mayoría traders experimentados — no usuarios aleatorios. El atacante había claramente perfilado la base de usuarios del bot y seleccionado objetivos de alto valor.
  • Transferencias manuales en lugar de drenajes automatizados — cada ataque requirió construcción específica de mensajes por víctima, sugiriendo operación manual más que un script de exploit genérico.

Total extraído: ~$3M, principalmente en ETH y tokens importantes mantenidos en las wallets gestionadas por Banana Gun de las víctimas.

Consecuencias

  • Banana Gun pausó las operaciones del bot tanto EVM como Solana en cuestión de horas.
  • El equipo se comprometió públicamente a reembolsos completos para todos los usuarios afectados desde reservas de tesorería, señalando explícitamente que no se venderían tokens BANANA para financiar el reembolso (lo que habría afectado a los titulares de tokens).
  • Las operaciones se reanudaron con un retraso añadido de 6 horas en las transferencias en transacciones salientes — un circuit breaker diseñado para dar al bot o sus usuarios tiempo para detectar comportamiento anómalo antes de que los fondos salgan de la wallet.
  • El precio del token BANANA subió un 7% al anunciarse el reembolso, reflejando confianza del mercado en la respuesta del equipo.

Por qué importa

El incidente de Banana Gun es un estudio de caso para la clase emergente de riesgo de los bots de trading de Telegram — productos que han crecido a volúmenes de trading multimillonarios para 2024-2026 pero cuyos modelos de seguridad dependen de:

  • La autenticación e integridad de la API de Telegram (el bot no puede realmente verificar al usuario más allá de lo que Telegram le dice).
  • La infraestructura de gestión de wallets del operador del bot (a menudo custodia de claves estilo hot wallet para trading rápido).
  • La calidad del propio código del bot (a menudo escrito y actualizado rápidamente para seguir el ritmo de la demanda de trading de memecoins).

Cualquiera de esas tres capas comprometida expone los fondos del usuario. La vulnerabilidad específica de Banana Gun estaba en la capa de oráculo; bots similares han sufrido problemas en distintas capas a escalas menores.

Las lecciones estructurales:

  1. La custodia de bots de trading es una clase de activo significativa en el modelo de amenaza — distinta de la auto-custodia, distinta de la custodia de exchange, con sus propias vulnerabilidades únicas.
  2. Los ataques dirigidos a "smart money" son cada vez más rentables cuando los atacantes pueden identificar a usuarios de alto valor — el mismo perfilado estilo Inferno-Drainer que afectó a la víctima de Whale Hunter's Payday aplica aquí.
  3. Los retrasos de transferencia de 6 horas son un trade-off significativo de UX/seguridad — reducen el tiempo ventana-de-ataque-a-exploit pero ralentizan las operaciones legítimas de usuario. La mayoría de usuarios aceptarán el trade-off después de un incidente; la pregunta es si el bot se envía con el retraso antes o después del primer incidente.

La respuesta de Banana Gun — pausa rápida, reembolso completo, endurecimiento inmediato de UX — estableció un listón creíble de cómo un operador de bot de Telegram debería manejar un incidente de seguridad a esta escala.

Fuentes y evidencia on-chain

  1. [01]cryptonews.comhttps://cryptonews.com/news/telegram-bot-banana-gun-to-refund-3-million-hack-victims/
  2. [02]quillaudits.comhttps://www.quillaudits.com/blog/hack-analysis/banana-gun-exploit
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/telegram-bot-banana-commits-to-covering-us3-million-lost-in-hack

Registros relacionados