BingX - Rekt



BingX acaba de desplomarse con una pérdida de $44.7 millones.

En un giro de los acontecimientos que se está volviendo demasiado familiar, otro exchange centralizado ha visto comprometidas sus hot wallets.

El 19 de septiembre, BingX aprendió una costosa lección sobre los peligros de la gestión de hot wallets y la persistencia de grupos de hackers sofisticados.

A medida que se propagaban las alertas del exploit, los observadores miraban fascinados cómo los hackers realizaban su magia oscura, desviando fondos a través de múltiples cadenas con la destreza de un David Copperfield digital.

Mientras tanto, el equipo de relaciones públicas de BingX se apresuró a minimizar el incidente, insistiendo en que era solo un contratiempo "menor", porque nada dice "todo está bien" como desangrarse ocho cifras de fondos de los clientes.

En el wake de este tsunami cripto singapurense, ¿cuántos exchanges más necesitan ser drenados antes de que "not your keys, not your crypto" deje de sonar como un disco rayado y se convierta en sentido común?

Créditos: Tayvano, Peckshield, BingX, Vivien Lin, Cyvers, SlowMist, Crypto Slate, ZachXBT

Como en muchas calamidades cripto, fue el siempre vigilante Crypto Twitter el que primero dio la voz de alarma.

Tayvano comenzó a listar las direcciones que estaban explotando a BingX, desatando una reacción en cadena de investigadores de blockchain.

La aguda observación de Tayvano destacó la naturaleza multichain del ataque, presagiando la magnitud del daño por venir.

No queriendo quedarse atrás, la firma de seguridad blockchain PeckShield intervino poco después, alertando a BingX de una salida sospechosa de $13.6 millones desde sus wallets.

No fue hasta aproximadamente una hora más tarde—una eternidad en términos de cripto—que BingX reconoció la situación con un vago "Aviso de Mantenimiento Temporal de la Wallet."

Poco después, la Directora de Producto de BingX, Vivien Lin, recurrió a las redes sociales con una declaración más detallada, aunque no completamente tranquilizadora.

Según Lin, el equipo de BingX detectó "acceso anormal a la red" alrededor de las 4 AM, hora de Singapur, sospechando de un ataque de hackers a su hot wallet.

Afirmaron haber "iniciado inmediatamente nuestro plan de emergencia, incluyendo la transferencia urgente de activos y la suspensión de retiros."

Lin intentó minimizar la gravedad del incidente, describiéndolo como una "pérdida menor de activos" y asegurando a los usuarios que la mayoría de los fondos estaban a salvo en cold wallets.

La exchange prometió restaurar los retiros dentro de 24 horas y sugirió un próximo plan de compensación.

Mientras BingX estaba ocupado elaborando su narrativa de relaciones públicas, Cyvers pintaba un panorama mucho más alarmante.

¿El daño total? Unos escalofriantes $44.7 millones a través de múltiples cadenas según SlowMist, incluyendo Ethereum, BNB Chain, Polygon, y otras.

Múltiples direcciones estuvieron involucradas en el exploit, lo que sugiere un esfuerzo coordinado o un atacante particularmente sofisticado.

Las huellas digitales del robo estaban esparcidas por la blockchain, con no menos de diez direcciones confirmadas de los explotadores y tres direcciones adicionales sospechosas de estar involucradas en el ataque.

Dirección del Explotador 1:
0xf7e8033366166f92eb477b7b38e0d47d47b43326

Dirección del Explotador 2:
0xb0146aec3593410c8307b570af69adf4d74678b3

Dirección del Explotador 3:
0x940362b46faf7df48af1c8989d809f50466b5fca

Dirección del Explotador 4:
0x1Dd7dAf089C16856155FeFd7e2170966bb6b3AEE

Dirección del Explotador 5:
0x719981cf7D1a1dC681a1cf0C6B1eeeE090D0FEd6

Dirección del Explotador 6:
0xf26e64ef4300ca027d2ffedd7d765d7a3906091c

Dirección del Explotador 7:
0xb77a4a9678315775c4ba89f18f84f87538e748f5

Dirección del Explotador 8:
0x63dc352ddfc17aa04edac47ce36e186c1e54b02c

Dirección del Explotador 9:
0x49284f0ab5098d7effb3392124903c081d1b9f7e

Dirección del Explotador 10:
[0xcfc14fa81226074036622976d95897ff84b58d66](https://etherscan.io/address/0xcfc14fa81226074036622976d95897ff84b

58d66)

Se sospecha que las siguientes 3 direcciones también estuvieron involucradas y tuvieron interacciones con las direcciones originales del explotador.

Dirección Sospechosa 1:
0xc1B5a00871B89175bDC8F3b0de9Be3b29ffD3729

Dirección Sospechosa 2:
0x4D9D586567c9feA923c362c35385935Ee7781bf6

Dirección Sospechosa 3:
0xf36dd342A1D1C63aAddF9a95226349e527917fF3

La causa exacta del exploit sigue siendo difícil de determinar, dejando espacio para la especulación.

¿Fue el resultado de un ataque de phishing sofisticado? ¿Un trabajo interno? ¿O quizás una vulnerabilidad en la infraestructura de seguridad de BingX que había estado latente, lista para ser explotada?

El ataque reveló un nivel de complejidad que haría que incluso los ciberdelincuentes más curtidos se inclinaran en señal de respeto.

Al armar el rompecabezas, surgió un espectro familiar en la investigación.

Hakan Unal, Líder de Operaciones de Seguridad Senior en Cyvers, levantó sospechas con una observación provocadora.

"El comportamiento de este hacker—usando múltiples wallets para intercambiar altcoins por ETH y BNB antes de consolidar—es consistente con las tácticas que hemos visto en operaciones pasadas de Lazarus."

En medio del análisis y la especulación, el detective de blockchain ZachXBT lanzó una bomba de verdad que puso en perspectiva la narrativa de BingX como víctima.

"La segunda parte de tu declaración es irónica considerando que BingX es conocida por ser inútil para todas las víctimas cuyos fondos robados van allí desde scams como 'pig butchering', estafas telefónicas de la India, y robos en la vida real. Ojalá este incidente de seguridad te ayude a reevaluar tus procesos ya que eres de los peores en ese aspecto."

El mordaz comentario de ZachXBT destacó una amarga ironía: el exchange que a menudo hacía la vista gorda ante la difícil situación de las víctimas de estafas, ahora se encontraba en el extremo receptor de un gran atraco.

Mientras BingX se apresura a contener el daño, tanto financiero como reputacional, la comunidad observa con una mezcla de cinismo y curiosidad.

¿Es la desgracia de BingX solo un bache en el radar o el presagio de una tormenta más grande que se avecina en el mundo de las exchanges centralizadas?

Con técnicas sofisticadas en juego y susurros de implicación de actores estatales, uno tiene que preguntarse: ¿estamos presenciando el primer ataque de una nueva y más peligrosa temporada de robos cripto?

El percance de $44.7 millones de BingX no es un incidente aislado.

Hace poco más de una semana, Indodax, otra exchange asiática, se quedó $25 millones más liviana, cortesía de un ataque similar.

Estos ataques consecutivos pintan un panorama preocupante de amenazas crecientes y defensas posiblemente superadas.

A medida que las exchanges se apresuran a reforzar sus defensas digitales, los usuarios empiezan a cuestionar los mismos cimientos del comercio cripto centralizado.

La promesa de "seguridad a nivel institucional" empieza a sonar hueca cuando millones desaparecen en un abrir y cerrar de ojos.

Y sin embargo, a medida que el ciclo de hackeos, parches y repeticiones continúa, uno no puede evitar sentir una sensación de déjà vu.

¿Estamos atrapados en un juego interminable de whack-a-mole con topos cada vez más sofisticados, o es este el empujón necesario para un replanteamiento radical de la seguridad en las exchanges?

¿Están estos exchanges llevando cuchillos a un tiroteo, o los atacantes simplemente van varios pasos por delante?


compartir artículo

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.