Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 068Compromiso de clave privada

Brecha de custodia de billeteras en Vulcan Forged

148 billeteras de Vulcan Forged perdieron 4,5M PYR ($140M) tras que atacantes comprometieran la custodia Venly. Reembolsadas en su totalidad.

Fecha
Víctima
Vulcan Forged
Cadena(s)
EthereumPolygon
Estado
Recuperado

El 13 de diciembre de 2021, la plataforma NFT play-to-earn Vulcan Forged sufrió una brecha de custodia que afectó a 148 billeteras de usuarios gestionadas por su proveedor de billetera embebida Venly. Los atacantes extrajeron las claves privadas de 96 de esas billeteras y drenaron aproximadamente 4,5M de PYR (~$140M), más cantidades menores de ETH y MATIC.

Qué ocurrió

Vulcan Forged usaba Venly (anteriormente Arkane Network) como servicio de billetera custodial embebida — Venly mantenía las claves en nombre de los usuarios de Vulcan Forged para que pudieran interactuar con la plataforma sin gestionar las semillas directamente.

El atacante comprometió el servidor de Vulcan Forged que mantenía las credenciales de autenticación de Venly. Usando esas credenciales, suplantaron a Vulcan como cliente institucional de Venly y solicitaron las claves privadas para billeteras de usuarios individuales — recibiéndolas a través del flujo legítimo de exportación de claves de Venly.

Con las claves en mano, el atacante drenó las 96 billeteras de usuarios con mayores tenencias, llevándose casi el 9% del suministro total de PYR junto con ETH y MATIC.

Consecuencias

  • Vulcan Forged anunció un plan de reembolso total en 24 horas: las billeteras afectadas recibieron tokens PYR y LAVA desde la tesorería del proyecto, restaurando los saldos originales de los usuarios.
  • La dirección del atacante fue incluida en listas negras en los principales exchanges en cuestión de días.
  • Todos los principales reembolsos se completaron en 48 horas desde el incidente.

Por qué importa

Vulcan Forged es uno de los ejemplos más claros del problema de la cadena de confianza de custodia embebida: cuando un proyecto usa un custodio externo para mantener las claves de los usuarios, la seguridad de la propia infraestructura del proyecto determina si esas claves permanecen seguras. El custodio (Venly) no fue vulnerado — las credenciales de autenticación de Vulcan Forged sí — pero el resultado del lado del usuario fue idéntico a un compromiso del custodio.

Los productos modernos de billetera embebida (billeteras MPC, billeteras de recuperación social como las usadas por Coinbase Wallet, Privy, etc.) arquitectan explícitamente alrededor de este riesgo: incluso un atacante que suplante completamente al proyecto no puede recuperar una sola clave privada completa.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/business/2021/12/14/gaming-platform-vulcan-forged-refunds-users-after-140m-hack
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/nft-marketplace-vulcan-forged-hacked-for-140m/
  3. [03]forkast.newshttps://forkast.news/headlines/vulcan-forged-replaces-token-stolen-hack/

Registros relacionados