FUPIAC

Actualización del incidente
#GUA compartió en su red oficial X los hallazgos claves y sustanciales de las primeras 24 horas de investigación. (Investigación en curso). Se realizará un análisis post mortem completo una vez que se completen estas fases. Los hallazgos que se detallan a continuación son los que podemos compartir de manera responsable en este momento.
Asimismo, somos conscientes de los rumores y la desinformación que se están difundiendo y pretendemos abordarlos directamente con las pruebas que presentamos en nuestros hallazgos. En primer lugar, no se trata de un ataque interno ni hay participación de ningún equipo; las insinuaciones de que el equipo esté vendiendo tokens en secreto o algo similar son completamente falsas y pueden demostrarse empíricamente. En segundo lugar, y relacionado con lo anterior, nunca hemos tenido ninguna relación con Web3Port. Ambos rumores son totalmente inventados.
✅ Detalles confirmados:
1️⃣ El ataque no consistió en la manipulación de direcciones de nuestro flujo de trabajo de construcción de transacciones. Nuestra evaluación previa de que la manipulación de direcciones era improbable ha sido confirmada por pruebas forenses directas. El miembro del equipo que propuso la transacción multifirma (Firmante 1) firmó la dirección del destinatario correcta, 0x70ae7D3DECfB4C3aE996fb1c07092566F73D5c15, a las 03:17 UTC del 27 de mayo, durante la llamada de verificación interna. La carga útil firmada se conserva íntegramente en los registros del dispositivo local, con la dirección y el importe correctos.
2️⃣ El ataque consistió en la vulneración de la clave privada de dicho firmante. Una firma válida independiente —para una transacción diferente con la dirección del atacante, 0x70AE678b457C5E1b3fD7AD9537F234dFc1795C15, como destinatario— se envió al Servicio de Transacciones Seguras a las 04:00 UTC, 43 minutos después. Esta segunda firma es criptográficamente válida para la misma cartera, pero no aparece en los registros del dispositivo local del Firmante 1. El mecanismo que explica esto es que el atacante poseía la clave privada de forma independiente y firmó la transacción sustituida desde fuera de la infraestructura del Firmante 1.
Los demás firmantes revisaron la transacción en cola en la interfaz de Safe. La dirección del atacante se construyó específicamente para compartir los mismos cuatro primeros y cuatro últimos caracteres hexadecimales que el destinatario correcto: ambos comienzan con 0x70AE y terminan con 5C15. Este patrón de direcciones falsas se utiliza para que aparezca como la dirección correcta en la vista previa de la interfaz de usuario de Safe. Generar estas direcciones falsas requiere tiempo y recursos, e implica premeditación y planificación por parte del atacante (más detalles en el punto 4). Tras la confirmación de la vista previa, los demás firmantes firmaron la transacción. La ejecución en la cadena se produjo a las 17:59:24 UTC.
3️⃣ Los fondos están completamente rastreados y actualmente se encuentran depositados en Ethereum. Aproximadamente cuatro horas después de la ejecución, el atacante liquidó los tokens GUA robados en PancakeSwap, transfirió las ganancias a una billetera operativa (0xb292a7016c0008e786edca46459ccee063673afb), convirtió el valor a Ethereum mediante protocolos entre cadenas y consolidó aproximadamente 2783,99 ETH en tres billeteras de almacenamiento en frío que actualmente mantienen los fondos sin salidas:
- 0x111b78A86C16dBD4261FCb5C7D3A9dAF25E2b589
- 0x7b8f28Ff2E1D4DF2D8ddD1daBaFf8c3E58FE841C
- 0xfa4cb6add9da4a4b714541b98fd4b2e3da86b7c8
- Una billetera separada Se transfirieron aproximadamente 170.121 USDT.
4️⃣ El atacante utiliza una infraestructura sustancial y reutilizable. La dirección del hub operativo y las tres direcciones de almacenamiento en frío de Ethereum están rodeadas de direcciones falsas, creadas mediante fuerza bruta, que el atacante inyecta con eventos de transferencia falsos utilizando símbolos de token falsificados con Unicode (ETH, EṬH, ĖTḨ). La misma técnica de creación de direcciones falsas generó la dirección utilizada contra nuestro proyecto. La magnitud y la preparación previa de esta infraestructura indican una operación industrializada, en lugar de un ataque puntual y oportunista.
Seguiremos publicando actualizaciones importantes a medida que avance la investigación, protegiendo la información que podría comprometer los flujos de trabajo activos. Continuamos colaborando estrechamente con las autoridades, expertos en seguridad informática y servicios de rastreo. Agradecemos la paciencia de la comunidad.