Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 075Phishing / Ingeniería social

Bypass del 2FA de Crypto.com

Un exploit de bypass del 2FA drenó $34M de 483 cuentas de Crypto.com; los atacantes autorizaron transacciones sin que el 2FA se solicitara al usuario.

Fecha
Víctima
Crypto.com
Cadena(s)
BitcoinEthereum
Estado
Recuperado

El 17 de enero de 2022, Crypto.com detectó retiradas sospechosas en 483 cuentas de clientes. Las pérdidas totales se asentaron en aproximadamente 34 millones de dólares — aproximadamente $15M en ETH, $19M en BTC, y el resto en otros activos. El ataque fue inusual en que esquivó la autenticación de dos factores en un gran exchange sin que se solicitara al usuario.

Qué ocurrió

Crypto.com inicialmente declinó compartir detalles técnicos — sus declaraciones tempranas caracterizaron el evento como "actividad no autorizada" sin confirmar una brecha. Tras varios días de presión comunitaria y análisis de terceros, la empresa confirmó que las transacciones en las cuentas afectadas habían sido aprobadas por los sistemas de Crypto.com sin que el correspondiente desafío 2FA se mostrara nunca a los usuarios.

El mecanismo exacto nunca se divulgó públicamente — las posibilidades incluían endpoints API internos comprometidos, robo de tokens de sesión seguido de escalada de privilegios, o un bug del backend que permitía a ciertos tipos de transacciones saltarse el gate 2FA. Lo que estaba claro de la evidencia on-chain era que el atacante:

  • No necesitó credenciales de usuario ni tokens 2FA para las 483 cuentas víctimas.
  • Drenó tanto saldos hot de ETH como de BTC a través de la interfaz normal de retirada de Crypto.com, con los propios sistemas de la plataforma tratando las transacciones como autorizadas.

Consecuencias

  • Crypto.com revocó todos los tokens 2FA de clientes, forzó la reinscripción y añadió un retraso obligatorio de 24 horas antes de la primera retirada a una dirección recién registrada.
  • Todas las cuentas afectadas fueron reembolsadas desde reservas corporativas.
  • El CFO y los equipos de seguridad se comprometieron públicamente a un programa de ciberseguro mundial de $750K y otros pasos de remediación de relaciones públicas.

Por qué importa

Crypto.com mostró que el 2FA es solo tan bueno como el servidor que lo aplica. La verificación criptográfica del lado del usuario es sin sentido si el backend omite la comprobación — y el modo de fallo es silencioso: los usuarios no ven prompt, no ven retirada en su sesión, solo descubren la pérdida cuando comprueban los saldos.

El incidente aceleró la adopción industrial de:

  • Periodos obligatorios de enfriamiento para nuevas direcciones de retirada (el propio retraso de 24 horas de Crypto.com, ahora común en exchanges).
  • Confirmación de retirada fuera de banda (email + notificación push + 2FA), de modo que un atacante que comprometa solo la ruta 2FA no sea suficiente.
  • Detección de anomalías por IP y por dispositivo que se activa con el tipo de patrón de retirada masiva que Crypto.com vio en 483 cuentas simultáneamente.

Fuentes y evidencia on-chain

  1. [01]techcrunch.comhttps://techcrunch.com/2022/01/20/2fa-compromise-led-to-34m-crypto-com-hack/
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-crypto-com-hack-january-2022
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/cryptocom-confirms-483-accounts-hacked-34-million-withdrawn/

Registros relacionados