Un hacker profesional instaló un robot de limpieza en una billetera criptográfica comprometida que contenía $90 000 de AVAX en stake. Tuvimos una semana para guardar estos fondos en la P-Chain de Avalanche antes de que el hacker pudiera reclamarlos. Esta es la historia de cómo codificamos nuestro propio robot, luchamos en el bosque oscuro de la cadena de bloques y salimos victoriosos.
Introducción
Se había robado la clave privada de una cuenta de criptomonedas y se había instalado un bot malicioso en la billetera. Dentro de esta cuenta comprometida, había $90,000 en AVAX en staking, que se desbloquearían en exactamente una semana. Una vez que ese período de staking terminara, el hacker intentaría reclamarlo todo.
El problema es que, como había un robot de barrido conectado a esta billetera, no se podía ejecutar ninguna transacción normal desde la cuenta sin que el hacker la "barriera" instantáneamente. Incluso enviar una pequeña cantidad de AVAX como comisión haría que el robot la robara, lo que haría que pareciera imposible recuperar los fondos apostados.
Pero en el mundo de la seguridad de la cadena de bloques, nada es realmente imposible. Tuvimos siete días y una poderosa comunidad para ayudar. Esta historia detalla cómo superamos a un bot peligroso, usamos nuestro conocimiento de la P-Chain de Avalanche y logramos rescatar $90,000 de AVAX.
¿Quién soy yo?
Para los que me leen por primera vez:
“Soy especialista en seguridad de blockchain y auditor de contratos inteligentes. He auditado numerosos proyectos de criptomonedas y he pasado los últimos tres años recuperando tokens perdidos de billeteras comprometidas. Mi principal experiencia es la guerra de bots en blockchain, específicamente cómo operan los bots con contratos inteligentes”.
Puedes encontrarme en Twitter (X) en @0xSmartContract
A lo largo de los años, he ayudado a rescatar tokens de innumerables billeteras comprometidas. Si alguna vez te encuentras perdido en el "bosque oscuro" de la cadena de bloques, estás en el lugar correcto. Para ver más ejemplos de operaciones de rescate, no dudes en consultar mi historia anterior de HackerNoon sobre cómo eludir un bot de limpieza para ahorrar $26 000 en tokens: ¿Cómo eludimos el bot de limpieza y ahorramos $26 000 en tokens en el bosque oscuro de la cadena de bloques?
Recibo al menos cuatro o cinco mensajes diarios de personas de todo el mundo cuyas cuentas han sido hackeadas. Ha habido un aumento en el último año, probablemente debido al creciente interés global en las criptomonedas y, por lo tanto, a que más delincuentes se centran en ellas. Los bots suelen ser los culpables, ya que se destacan por su capacidad para barrer y adelantarse a las amenazas. También pueden destacarse en el arbitraje, las estrategias MEV (valor extraíble de los mineros) o la compra instantánea de tokens meme. Pero son especialmente formidables a la hora de evitar que una billetera comprometida realice transacciones hasta que el atacante esté listo para robar fondos.
El llamado de ayuda: plazo de una semana
“Recibí un mensaje de un usuario. Le habían robado su frase inicial y habían agotado todos sus fondos disponibles de inmediato. Pero el hacker dejó un bot para que tomara cualquier otra cosa que entrara en la billetera. Ahora, el hacker estaba esperando que se desprendieran 90 000 dólares de AVAX en 7 días en la P-Chain de Avalanche”.
El problema: cualquier intento de enviar una transacción desde esta billetera (incluso tarifas de gas) sería instantáneamente barrido por el bot del hacker, haciendo aparentemente imposible transferir activos adicionales.
El método del hacker: Los hackers suelen instalar estos bots para asegurarse de que, una vez que comprometen una billetera, nadie más pueda mover fondos sin pagarles primero. Si detectan monedas entrantes o si la víctima intenta hacer staking o dejar de hacer staking, el bot envía instantáneamente esas monedas a la billetera del hacker.
En este caso, el hacker también se hizo pasar por un verdadero funcionario del proyecto blockchain en LinkedIn: una táctica de ingeniería social muy convincente.
Ingresa a la Comunidad AVAX
Nuestra víctima era parte de una de las comunidades más sólidas en el mundo de las criptomonedas: Avalanche . En un evento de Avalanche, la víctima había conocido a un miembro de la comunidad con conocimientos técnicos, @koaservatt , que estaba dispuesto a ayudar. Al reconocer la complejidad de la situación, @koaservatt conectó a la víctima y a mí. A partir de ese momento, formamos un equipo de rescate pequeño pero decidido.
“Un agradecimiento a @koaservatt por organizar el rescate de principio a fin, compartir conocimientos únicos sobre la mecánica de staking de P-Chain de Avalanche y mantenerse despierto durante casi una semana. Este es el poder del apoyo de la comunidad en el mundo de las criptomonedas”.
Planificación de la batalla entre bots
Teníamos siete días antes de que terminara la participación. En el momento en que esa participación se volviera transferible, el bot del hacker reclamaría el AVAX, o lo haríamos nosotros. Para tener éxito, necesitábamos un plan cuidadosamente elaborado y nuestro propio contrabot . A continuación, se detallaron los principales desafíos:
Un ladrón profesional
“El hacker había robado a muchas personas y estaba en línea las 24 horas del día, los 7 días de la semana. Ese era su único trabajo: robar. Pero nosotros tenemos trabajos diarios, por lo que nuestro bot tiene que ser excepcionalmente agudo y rápido.
Territorio desconocido en P-Chain
“La P-Chain de Avalanche tiene una lógica de transacciones diferente a la típica EVM (C-Chain). Ninguno de los enfoques habituales basados en EVM funcionaría aquí. Tuvimos que revisar la documentación, los formatos de transacciones y el código de Avalanche”.
Siempre recomiendo leer documentación oficial y repositorios de código abierto para comprender completamente las estructuras de una cadena de bloques. Estos son algunos de los recursos que utilizamos:
Además, si quieres más información sobre cómo abordo la arquitectura de bots y visualizo el código de contratos inteligentes, consulta mi artículo sobre HackerNoon: Códigos de contratos inteligentes: cómo lo ves tú frente a cómo lo ve un hacker
Comienza la cuenta regresiva de 7 días
A continuación se muestra cómo progresó la semana mientras corríamos contra el reloj:
Días 1 y 2: Profundización en la cadena P de avalanchas
“Si quieres luchar contra los bots en una red blockchain, necesitas estudiar la red a nivel de código”.
Durante los primeros dos días, me sumergí en el repositorio de GitHub y la documentación oficial de Avalanche. Los mecanismos de transacción de P-Chain difieren de la lógica típica de EVM, por lo que era fundamental comprenderlos a fondo.
Día 3: Necesidad de una billetera y un entorno de prueba
“Necesitábamos probar varios escenarios en P-Chain de Avalanche. Sin embargo, el equipo del proyecto eliminó repentinamente la única aplicación de billetera oficial para P-Chain, 'Core'. Esto provocó un retraso significativo”.
Sin una interfaz de billetera estándar, tuvimos que diseñar nuestro propio entorno de prueba y scripts para experimentar con las transacciones de P-Chain. Esto nos retrasó un par de días.
Día 4: Movimientos en cadena de los hackers
“Me di cuenta en la cadena de bloques de que el hacker había comenzado a hacer preparativos. Claramente, también se estaban preparando para el final del staking. El tiempo se estaba acabando”.
Planifiqué meticulosamente cada transacción posible que el robot podría realizar y las comparé con la forma en que nuestro robot de respuesta podría responder. Necesitábamos velocidad y precisión.
Días 5 y 6: Pruebas finales de nuestro robot de rescate
“Al recordar el legendario artículo de Dan Robinson sobre la lucha contra los bots en el 'bosque oscuro' de Ethereum, recordé su advertencia: 'Existe una gran probabilidad de que subestimes a estos bots'. Así que probé todo varias veces".
Escribimos el código, lo probamos con pequeñas cantidades y lo perfeccionamos. Hubo muchas pequeñas "sorpresas" que integramos para burlar al bot del hacker en P-Chain.
Para aquellos intrigados por este tipo de escenarios de bots de blockchain de alto riesgo, aquí está el influyente artículo de Dan Robinson: Ethereum es un bosque oscuro
Día final: Desbloqueo de staking y enfrentamiento
“Cuando la apuesta terminó, nuestro robot de rescate tuvo que ejecutar su transacción en el momento exacto en que AVAX estuvo disponible. Éramos nosotros o el hacker”.
Implementamos nuestro bot, diseñado para procesar cada paso de forma atómica:
- Transfiera inmediatamente los AVAX a una dirección de billetera segura.🎯
- Evite que el bot del pirata informático se adelante a nuestra transacción aprovechando ciertos matices de la transacción de P-Chain y llamadas cronometradas meticulosamente.🎯
Funcionó. Nuestro bot superó al bot del hacker y aseguró los 90 000 dólares de AVAX. La transacción se liquidó y rápidamente confirmamos que los fondos estaban seguros en una dirección recién generada y no comprometida. 😅🎉🎊
“¡Lo logramos! En el oscuro bosque de la cadena de bloques, salimos victoriosos y ahorramos 90.000 dólares. ¡Fue un gran alivio!” 🥇
Conclusión
Esta intensa batalla de una semana en la P-Chain de Avalanche destaca varias lecciones importantes:
- La documentación de Blockchain es clave: comprender los fundamentos de cómo funcionan las transacciones en una cadena específica es la diferencia entre el éxito y el fracaso.
- Los bots nunca duermen: los bots de rastreo y de ataque pueden ser implacables. Si sus claves privadas están en peligro, cualquier transacción normal es casi imposible. Necesita un plan sólido y creativo (y, a menudo, un bot personalizado) para tener una oportunidad.
- El apoyo de la comunidad es importante: sin la comunidad de Avalanche (especialmente @koaservatt ), es posible que nunca hubiéramos logrado este rescate a tiempo.
- Nunca subestimes el bot de un hacker: son rápidos, dedicados y perfectamente adaptados al entorno. Tu código debe ser más rápido y más astuto.
- Proteja siempre sus frases clave: la prevención es la mejor defensa. Nunca comparta sus frases clave, especialmente en sitios web sospechosos o con desconocidos en las redes sociales.
Palabra final
Al final, superamos las probabilidades, superamos el robot de limpieza del hacker y aseguramos $90,000 de AVAX en stake. Si alguna vez te pierdes en el bosque oscuro de la cadena de bloques, recuerda que con suficiente conocimiento técnico, apoyo de la comunidad y un poco de creatividad, casi siempre hay una salida.
¿Tienes una historia o necesitas ayuda? Solo uso X (Twitter) para comunicarme y recibo mensajes a diario de personas que buscan ayuda para recuperar sus datos. Si quieres intercambiar ideas sobre cómo recuperar tokens de una cuenta comprometida, no dudes en comunicarte conmigo.
Si quieres apoyar o aportar ideas sobre los fondos que deben recuperarse de las cuentas hackeadas, puedes enviarme un mensaje a mi cuenta de Twitter.
Referencias y lecturas adicionales:
- GitHub de AvalancheGo
- Formato de transacción de cadena P de Avalanche
- “Ethereum es un bosque oscuro” de Dan Robinson
- Historia previa de rescate de HackerNoon
Feliz hackeo 🤖, 0xSmartContract
