Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 062Phishing / Ingeniería social

Phishing a desarrollador de bZx

Un phishing con macro de Word en la máquina de un dev permitió a atacantes vinculados a Lazarus drenar $55M de los despliegues de bZx en Polygon y BSC.

Fecha
Víctima
bZx
Cadena(s)
PolygonBNB Chain
Estado
Fondos robados
Atribución
Suspected Lazarus Group (DPRK)

El 5 de noviembre de 2021, el protocolo de préstamos DeFi bZx perdió aproximadamente 55 millones de dólares — su tercer gran incidente, tras los dos ataques con préstamo flash fundacionales de febrero de 2020. Esta vez el ataque no fue a los contratos inteligentes. Un desarrollador de bZx abrió un email de phishing con un documento Word malicioso, y un atacante cabalgó la cadena de compromiso hasta las claves de firma del protocolo.

Qué ocurrió

Un desarrollador de bZx recibió un email de phishing suplantando un contacto legítimo, con un documento Word adjunto. Abrir el documento activó una macro maliciosa que ejecutó un script en la computadora personal del desarrollador. El script:

  1. Robó la frase mnemónica de la wallet personal del desarrollador — y la vació.
  2. Extrajo dos claves privadas que la máquina del desarrollador tenía para los despliegues de bZx en Polygon y BNB Chain.

Los despliegues de Polygon y BSC usaban contratos proxy actualizables controlados por estas claves admin. Con ambas claves en mano, el atacante:

  1. Actualizó los contratos proxy de bZx a una implementación maliciosa que permitía retiradas arbitrarias.
  2. Drenó las tenencias del protocolo en Polygon y BSC — aproximadamente $55M entre saldos en ETH-equivalente y stablecoins.
  3. Como bonus, barrió los saldos de usuarios que habían otorgado a los contratos de bZx aprobaciones ilimitadas de tokens, añadiendo varios millones en pérdidas adicionales.

El despliegue de bZx en Ethereum quedó intacto — la máquina comprometida del desarrollador tenía claves solo para Polygon y BSC, y el multi-sig que gobernaba los contratos de Ethereum requería firmantes adicionales.

Atribución y consecuencias

  • El análisis de Kaspersky del payload del email de phishing y la firma de blanqueo posteriormente atribuyó la operación al Grupo Lazarus de Corea del Norte, una de las operaciones de Lazarus contra un objetivo puramente DeFi más tempranas documentadas públicamente.
  • bZx finalmente cerró sus operaciones de préstamos tras la tercera derrota. El protocolo sobrevive en forma (como Ooki DAO) pero perdió su posición como prestamista DeFi serio.
  • Los fondos robados fueron blanqueados a través de Tornado Cash; sin recuperación pública.

Por qué importa

El incidente de bZx de noviembre de 2021 es fundacional por dos razones:

  1. Fue una advertencia temprana de que DeFi estaba ahora plenamente en la mira de Lazarus. Las operaciones previas de Lazarus se habían centrado en exchanges centralizados; el targeting preciso de un desarrollador DeFi con un payload de phishing personalizado, y la sofisticación operativa de monetizar las claves cross-chain, fueron un preview de las operaciones mucho mayores que llegarían en Harmony, Radiant Capital y finalmente Bybit.

  2. El mismo protocolo puede sobrevivir a cualquier número de exploits de contratos inteligentes — y aun así ser asesinado por un compromiso de endpoint. El código Solidity de bZx no fue comprometido en noviembre de 2021. Un portátil sí.

La lección — que las claves admin pertenecen a hardware wallets detrás de multi-sig, punto, sin importar cuán conveniente sea la firma con clave única para el desarrollo — es una que la industria ha pagado cientos de millones de dólares en aprender, repetidamente, en los años desde.

Fuentes y evidencia on-chain

  1. [01]therecord.mediahttps://therecord.media/hacker-steals-55-million-from-bzx-defi-platform
  2. [02]coindesk.comhttps://www.coindesk.com/business/2021/11/05/defi-lender-bzx-suffers-hack-for-reported-55m
  3. [03]halborn.comhttps://www.halborn.com/blog/post/explained-the-bzx-hack-november-2021

Registros relacionados