Usuarios de MyEtherWallet reportan fondos robados en un ataque DNS

MyEthereWallet, una de las carteras de Ethereum más populares, sufrió un ataque en su seguridad este 24 de abril alas 12:00 pm UTC. Algunos usuarios reportaron que al utilizar el DNS público de Google fueron redirigidos a un sitio web no protegido, por lo que se presume que durante el tiempo que duró el ataque las carteras de los usuarios estuvieron en riesgo de ser manipuladas por hackers.

Usuarios de Reddit que reportaron que el servidor DNS estaba resolviendo de manera anómala el dominio de MyEtherWallet, redirigiendo a un servidor incorrecto que puede robar las claves de los usuario, comentaron lo siguiente: “asegúrese de que la Conexión SSL siempre esté verde cuando interactúa con cualquier sitio web”, advirtieron a través de esta red social.

Sin embargo, la empresa informó que solo algunos servidores DNS estuvieron comprometidos. A través de su cuenta oficial en la red social Twitter publicaron una explicación sobre el suceso. El tweet enfatiza que no se trata de una falla de MEW, aunque están verificando los servidores.

Couple of DNS servers were hijacked to resolve https://t.co/xwxRJ4H4i8 users to be redirected to a phishing site. This is not on @myetherwallet side, we are in the process of verifying which servers to get it resolved asap.

— MyEtherWallet.com (@myetherwallet) 24 de abril de 2018

«Un par de servidores DNS fueron secuestrados para resolver que los usuarios de http://myetherwallet.com sean redirigidos a un sitio de phishing. Esto no se hizo por parte de MyEtherWallet, estamos en el proceso de verificar qué servidores para resolverlo lo antes posible», se lee en el tweet.

A través de Reddit un usuario relató cómo le fueron sustraídos sus fondos: en total, 0,9 ETH. Según explicó prendió su computadora, ingresó el URL de MyEtherWallet y su navegador mostró una señal de conexión no segura. A pesar de que comprobó con EAL y revisó el linkvarias veces, la conexión no segura persistió. Posteriormente, aunque según él mismo dijo, tenía un mal presentimiento, trató de iniciar sesión. Acto seguido, le fue sustraído casi un ETH de su cartera. El usuario no se había enterado de la falla del DNS de Google. El escaneo con Avast y Malwarebytes de su computadora no arrojó ningún resultado.

Otro cliente de MEW también informó haber sido víctima de este ataque, solo que en su caso la pérdida fue de 11ETH. En ambos casos, los usuarios reportaron que la dirección de destino que había obtenido los fondos disponibles era la siguiente:  0x1d50588C0aa11959A5c28831ce3DC5F1D3120d29.

La empresa emite un comunicado

La empresa utilizó su perfil en Reddit para publicar un comunicado oficial hace pocos minutos. En él afirma que la seguridad de MEW no ha sido comprometida y que los atacantes consiguieron una debilidad en el servicio DNS para perjudicar a los usuarios.

Asimismo, recomendaron a los afectados que cambien sus servidores DNS a Cloudfare. La empresa también instó a los usuarios a utilizar carteras frías debido a que las llaves privadas nunca abandonan el dispositivo. También recomendaron a ser cuidadosos al ingresas al website, asegurando que cumpla con el certificado SSL.

No es primera vez que la empresa ve comprometida su web. Ya en octubre fue presa de un ataque de phishing, cuando un grupo de delincuentes cibernéticos se hizo pasar por el equipo de MEW y envió links fraudulentos para robar llaves privadas.

En diciembre del año pasado MEW alertó a sus usuarios sobre la aparición de una versión falsa de su cartera disponible para descargar en la App Store de Apple. Entonces la aplicación se coló en el top-3 de descargas en la categoría de finanzas antes de ser retirada por denuncias.

Imagen destacada por Tomasz Zajda /stock.adobe.com