🚨Megahilo sobre los robos de #KuCoin🚨
Spanish + English version
Si tenéis fondos en @kucoincom y no queréis perderlos, debéis leerlo.
Voy a explicar su modus operandi y cómo protegeros de ello.
Primero la versión en español y luego en inglés.
Dentro megahilo👇 #kucoinhack
Todo comienza con una búsqueda en Google. Si buscáis "kucoin" y no tenéis ningún adblock, vais a ver decenas de webs falsas de KuCoin (imagenes adjuntadas).
Estas webs parecen idénticas a kucoin en todos los aspectos, pero no pertenecen a ellos. 1/
Casi todas acaban redireccionando a "kucoiv". Hay algunas que se lo curran más y enmascaran la URL (podéis ver más aquí:
).
Tras entrar en una de estas, nos pedirá nuestro usuario, contraseña y justo después, el 2FA.
Pero lo que ocurre por detrás...
2/
...es que le estás pasando tus credenciales a un ruso (imagen adjunta). Concretamente, a la web grauwakel.com. Si le hacemos un WHOIS podemos verificar que se registró en reg.com, una empresa de dominios rusa (adjunto whois). 3/
Ese es un callejón sin salida a menos que la empresa nos ceda los datos de este tipo, que intuyo que solo lo haría bajo orden policial.
Ahora prosigamos analizando cómo actúan.
Tras recibir tus credenciales, inmediatamente entran en cuenta e intentan crear una master API key.
4/
Y te preguntarás, ¿Qué es una API? Básicamente es una clave anclada a tu cuenta que te permite operar de forma externa a KuCoin de forma sencilla.
Por ejemplo para trackear tu portfolio, para crear un bot y que opere, etc.
A estas APIs se les puede dar más o menos poder. 5/
Si le damos todo el poder se podría hacer TODO desde este API sin necesidad de pedir validaciones añadidas.
Volvamos al hilo. Para acabar de crear una Master API KuCoin te solicita que lo confirmes con un código que te ha enviado al email (adjunto captura). 6/
Sin meter este código no pueden crearla y activarla. Pero ya lo tienen todo pensado.
En paralelo, cuando vuelvas a intentar hacer login, esta vez en vez de pedirte el Google Auth, te pedirán que pongas el código que te han enviado al email.
E iluso de ti, meterás el de la API.
7/
¡Voilá! Ya tienen la API creada y ya pueden hacer lo que quieran.
Ahora simplemente venden todos tus fondos a BTC y lo envían a un wallet externo de ellos sin ni siquiera que se te notifique por email.
Mismo modus operandi: extraen máximo 0,86BTC por wallet. 8/
En las imágenes de arriba, el nodo de la izquierda es un hot wallet de KuCoin y el de la derecha las direcciones del hacker.
Aquí tenemos otro callejón sin salida: esas wallets tienen los fondos ahí y no los han movido aún, así que toca quedar a la espera a ver qué hacen.
9/
En conclusión, aunque en parte los usuarios tengan la culpa de haber caído en este phising, KuCoin también tiene parte de culpa por tener un sistema tan vulnerable que permite que 2 IPs lejanas estén conectadas de forma simultánea. Y ahí voy ahora.
10/
El hacker utiliza una VPN en la que puede elegir país. Entonces, cuando entra a tu cuenta y revisa tu país, activa una IP de tu país. En los afectados españoles, tienen este rango: 193.43.119.50 a 193.43.119.55.
Si se conectasen desde una IP rusa el bloqueo sería instantáneo.
11/
Pero como es española, tardan en bloquearla. Y en esos momentos se produce la magia.
Es decir, te roban tus fondos, te bloquean la cuenta y no te hacen caso.
También es posible que su APP tuviera algún tipo de vulnerabilidad, pero...
11/11
...no lo he podido confirmar.
En definitiva, llevad mucho cuidado con las URL por las que accedéis y si podéis, compraros una yubikey para operar.
Y sobre todo, not your keys not your coins.
Si podéis compartir este hilo los afectados os lo agradecerán.
Se despide,
Ericonomic🔥
[English thread]
If you have crypto in KuCoin and don't want to loose them, read this.
I'm gonna explain how hackers did this theft.
Let's begin👇
It starts with a Google search. If you look for "kucoin" on Google and you don't have adblock, you will find several KuCoin phising websites (check the img).
All theese webs look identical to KuCoin in every way, but don't belong to them. 1/
All those webs redirect to "kucoiv". Some websites mask the URL, but I couldn't reproduce that actually
(check that here:
).
After entering in one of theese, they will ask for our user, password and then later our 2FA.
But behind that...
2/
...they're giving your credentials to some russian guy (img).
Concretely to the web grauwakel.com. If we WHOIS this web we can check that it was registered in reg.com, a russian company (img2). 3/
That's a dead end unless the company gives us their ID, which they won't until police asks them.
Now let's continue with the operation.
After receiving our credentials they immediatley login into your account and try to create a master API key.
4/
You may wonder, whats an API?
Basically it's a key linked to your account that allows you to operate outside KuCoin in an easy way. For example for tracking your portofolio or tading with a bot.
And theese API can have more or less "power". 5/
If we gave them all the power you would be able to do everything with that API, even withdraw funds.
Now let's get back to the thread. To finnish the API creation you need to confirm that with a code that is sent tu your email (img). 6/
Without that code they can't create it. But they have a plan.
In parallel, when you try to login again, insted of asking for your 2FA, they ask for a code that they sent to your email.
And fool of you, you will type the code asked for the API.
7/
¡Et voilà!
The API is created and they can do whatever they want to.
Now they sell your funds to BTC and withdraw them to their wallets. And you won't even notice that.
Same modus operandi: they withdraw up to 0,86BTC to a wallet and keep the funds there. 8/
In that images, the left node blongs to a KuCoin's hot wallet and the one in the right to the hacker's wallet.
This is another dead end: those wallets still have the funds and have no outputs. We have to wait to check what they do.
9/
In conclussion, even if the users have its part of the fault, KuCoin should have frozen the account instantly when 2 IPs from different places are logged at the same time.
The hacker connects to an IP near the user with their VPN, but that's not an excuse for them.
10/
To sum up, take care of the URLs you visit and, if you can, purchase a yubikey or similar.
And remember, not your keys not your coins.
Like and share. Affected people will thank you.
Greetings,
Ericonomic.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
¿Has tomado algo de profit y te quieres pegar un caprichito en la vida real con esos USDT🎁?
¿Crees que es imposible hacerlo sin que Hackcienda te robe su parte del pastel?💸
En este #hilo te traigo una manera segura, barata e irrastreable de pegarte un homenaje.
Vamos allá🔥
👇
Lo primero que tenemos que hacer es pasar esos USDT o el token que sea a bitcoin en la red de #Bitcoin .
Para ello tienes muchas alternativas, entre las que destaca pasar por un exchange centralizado.
Pero esta tiene 2 grandes pegas...
1/
La primera es la trazabilidad: van a poder rastrear tu transacción y seguir tus fondos (y más si lo haces en un exchange con KYC) y el fisco se pone tonto, te puede perseguir.
La segunda son las comisiones de retirada de bitcoin, que usualmente suelen ser carísimas en los CEX.
2/
¿Quieres descubrir la ingeniosa forma en la que los hackers de #Wormhole robaron ~300M de dólares en ether?
En este hilo te lo explico desde el punto de vista técnico pero de tal forma que cualquier persona sea capaz de entenderlo.
Vamos a ello🔥
👇
Este wormhole es un bridge entre varias blockchains que te permite pasar tokens de una blockchain a otra de forma descentralizada. Por ejemplo, pasar USDT desde la red BSC a ERC20🔁
Ahora vamos a hablar de cómo se dieron cuenta del bug que les permitió hacer el hack.
1/
GitHub es un servicio online que te permite subir código y gestionarlo. Una de sus funcionalidades es la de crear 'ramas' del código original y modificar lo que consideres.
Cuando todo el mundo confirma que la modificación funciona y es correcta, se fusiona...
2/
Tal y como habéis pedido voy a explicar lo que ha pasado con #Wonderland, una de tantas CAO (a ver quién lo pilla) que acaba estafando a todos sus participantes.
Pillad palomitas🍿
👇
Antes de comenzar a hablar de Wonderland hay que hablar de QuadrigaCX y de su co-fundador, Michael Patryn.
QuadrigaCX era una empresa fundada por Gerry Gotten y Michael Patryn en 2013 que posteriormente creó su propio exchange de criptomonedas.
1/
En 2018 Gerry fue hallado muerto en la India. Coincidiendo con esto, muchos usuarios de Quadriga reportaban que no podían retirar su dinero del exchange. Tras una investigación se descubrió que los wallets estaban a 0, desapareciendo así 120 millones de euros de los clientes.
2/
¿Eres millennial y crees que aprender de mercados financieros, de criptos y de economía no te puede servir de nada en la vida real?✖️
Déjame decirte que estás totalmente equivocado. Y te lo voy a demostrar contándote algo sobre mi que espero que te motive a aprender más.
👇
Corría el año 2020 y tanto mi pareja como yo, como buenos millennials que somos, llevábamos años ahorrando para comprarnos una buena casa.
Estábamos esperando 'el dip' en el mercado financiero, alguna guerra o algo para que bajaran los precios y poder comprar...
1/
Entonces apareció el COVID y miles de jóvenes nos agazapamos esperando el momento justo de cazar la tan ansiada bajada de precios.
Como todo el mercado inmobiliario estaba tan caro no nos quedaba otra que esperar a algo así.
Y un 'cisne negro' o similar era la mejor opción.
2/
🚨¿Usas o tienes pensado usar un hardware wallet y no sabes lo que es AOPP?¿Sabes por qué su implementación es tan peligrosa para los usuarios de #Criptomonedas ?🚨
Abro mini-hilo explicando con palabras poco técnicas lo que es AOPP y por qué debemos evitarlo a toda costa.
👇
Sus siglas vienen de "Address Ownership Proof Protocol", lo que en español viene siendo un protocolo de prueba de la propiedad de una dirección.
En resumen vendría a ser un protocolo mediante el cual enlazar tu identidad con la dirección de un hardware wallet.
1/
¿Cómo lo pueden hacer? Muy sencillo.
Los exchanges, antes de dejarte retirar tus criptos, te podrán pedir firmar un mensaje con tu hardware wallet para habilitar las retiradas a esa dirección.
A partir de ahí, si has hecho KYC, tu HW quedará enlazado a tu identidad.
2/
El Gobierno de España dice que el IPC ha sido en 2021 del 6,5%.
El IPC es el índice que utiliza el INE para medir la inflación en un periodo temporal, por lo que es un índice cocinado por ellos mismos, un ente público.
¿Crees que realmente la inflación ha sido esa?🧐
Abro hilo👇
Para confirmarlo, vamos a revisar manualmente el cálculo con los datos estadísticos que nos da el INE: ine.es/dyngs/INEbase/…
Antes de proseguir voy a explicarte cómo funciona el IPC y cómo se calcula.
1/
En primer lugar realizan una cesta de productos ponderando cada producto con un porcentaje: lo que "consume" el español medio.
Adjunto la foto de la ponderación de 2021. 2/