🚨Megahilo sobre los robos de #KuCoin🚨
Spanish + English version
Si tenéis fondos en @kucoincom y no queréis perderlos, debéis leerlo.
Voy a explicar su modus operandi y cómo protegeros de ello.
Primero la versión en español y luego en inglés.
Dentro megahilo👇
#kucoinhack
Spanish + English version
Si tenéis fondos en @kucoincom y no queréis perderlos, debéis leerlo.
Voy a explicar su modus operandi y cómo protegeros de ello.
Primero la versión en español y luego en inglés.
Dentro megahilo👇
#kucoinhack
Todo comienza con una búsqueda en Google. Si buscáis "kucoin" y no tenéis ningún adblock, vais a ver decenas de webs falsas de KuCoin (imagenes adjuntadas).
Estas webs parecen idénticas a kucoin en todos los aspectos, pero no pertenecen a ellos.
1/
Estas webs parecen idénticas a kucoin en todos los aspectos, pero no pertenecen a ellos.
1/
Casi todas acaban redireccionando a "kucoiv". Hay algunas que se lo curran más y enmascaran la URL (podéis ver más aquí:
Tras entrar en una de estas, nos pedirá nuestro usuario, contraseña y justo después, el 2FA.
Pero lo que ocurre por detrás...
2/
https://twitter.com/DavMas8/status/1490817502984736772?t=JbbTuYSZo_HOfqnS58Q-Xg&s=19).
Tras entrar en una de estas, nos pedirá nuestro usuario, contraseña y justo después, el 2FA.
Pero lo que ocurre por detrás...
2/
...es que le estás pasando tus credenciales a un ruso (imagen adjunta). Concretamente, a la web grauwakel.com. Si le hacemos un WHOIS podemos verificar que se registró en reg.com, una empresa de dominios rusa (adjunto whois).
3/
3/
Ese es un callejón sin salida a menos que la empresa nos ceda los datos de este tipo, que intuyo que solo lo haría bajo orden policial.
Ahora prosigamos analizando cómo actúan.
Tras recibir tus credenciales, inmediatamente entran en cuenta e intentan crear una master API key.
4/
Ahora prosigamos analizando cómo actúan.
Tras recibir tus credenciales, inmediatamente entran en cuenta e intentan crear una master API key.
4/
Y te preguntarás, ¿Qué es una API? Básicamente es una clave anclada a tu cuenta que te permite operar de forma externa a KuCoin de forma sencilla.
Por ejemplo para trackear tu portfolio, para crear un bot y que opere, etc.
A estas APIs se les puede dar más o menos poder.
5/
Por ejemplo para trackear tu portfolio, para crear un bot y que opere, etc.
A estas APIs se les puede dar más o menos poder.
5/
Si le damos todo el poder se podría hacer TODO desde este API sin necesidad de pedir validaciones añadidas.
Volvamos al hilo. Para acabar de crear una Master API KuCoin te solicita que lo confirmes con un código que te ha enviado al email (adjunto captura).
6/
Volvamos al hilo. Para acabar de crear una Master API KuCoin te solicita que lo confirmes con un código que te ha enviado al email (adjunto captura).
6/
Sin meter este código no pueden crearla y activarla. Pero ya lo tienen todo pensado.
En paralelo, cuando vuelvas a intentar hacer login, esta vez en vez de pedirte el Google Auth, te pedirán que pongas el código que te han enviado al email.
E iluso de ti, meterás el de la API.
7/
En paralelo, cuando vuelvas a intentar hacer login, esta vez en vez de pedirte el Google Auth, te pedirán que pongas el código que te han enviado al email.
E iluso de ti, meterás el de la API.
7/
¡Voilá! Ya tienen la API creada y ya pueden hacer lo que quieran.
Ahora simplemente venden todos tus fondos a BTC y lo envían a un wallet externo de ellos sin ni siquiera que se te notifique por email.
Mismo modus operandi: extraen máximo 0,86BTC por wallet.
8/
Ahora simplemente venden todos tus fondos a BTC y lo envían a un wallet externo de ellos sin ni siquiera que se te notifique por email.
Mismo modus operandi: extraen máximo 0,86BTC por wallet.
8/
En las imágenes de arriba, el nodo de la izquierda es un hot wallet de KuCoin y el de la derecha las direcciones del hacker.
Aquí tenemos otro callejón sin salida: esas wallets tienen los fondos ahí y no los han movido aún, así que toca quedar a la espera a ver qué hacen.
9/
Aquí tenemos otro callejón sin salida: esas wallets tienen los fondos ahí y no los han movido aún, así que toca quedar a la espera a ver qué hacen.
9/
En conclusión, aunque en parte los usuarios tengan la culpa de haber caído en este phising, KuCoin también tiene parte de culpa por tener un sistema tan vulnerable que permite que 2 IPs lejanas estén conectadas de forma simultánea. Y ahí voy ahora.
10/
10/
El hacker utiliza una VPN en la que puede elegir país. Entonces, cuando entra a tu cuenta y revisa tu país, activa una IP de tu país. En los afectados españoles, tienen este rango: 193.43.119.50 a 193.43.119.55.
Si se conectasen desde una IP rusa el bloqueo sería instantáneo.
11/
Si se conectasen desde una IP rusa el bloqueo sería instantáneo.
11/
Pero como es española, tardan en bloquearla. Y en esos momentos se produce la magia.
Es decir, te roban tus fondos, te bloquean la cuenta y no te hacen caso.
También es posible que su APP tuviera algún tipo de vulnerabilidad, pero...
11/11
Es decir, te roban tus fondos, te bloquean la cuenta y no te hacen caso.
También es posible que su APP tuviera algún tipo de vulnerabilidad, pero...
11/11
...no lo he podido confirmar.
En definitiva, llevad mucho cuidado con las URL por las que accedéis y si podéis, compraros una yubikey para operar.
Y sobre todo, not your keys not your coins.
Si podéis compartir este hilo los afectados os lo agradecerán.
Se despide,
Ericonomic🔥
En definitiva, llevad mucho cuidado con las URL por las que accedéis y si podéis, compraros una yubikey para operar.
Y sobre todo, not your keys not your coins.
Si podéis compartir este hilo los afectados os lo agradecerán.
Se despide,
Ericonomic🔥
[English thread]
If you have crypto in KuCoin and don't want to loose them, read this.
I'm gonna explain how hackers did this theft.
Let's begin👇
If you have crypto in KuCoin and don't want to loose them, read this.
I'm gonna explain how hackers did this theft.
Let's begin👇
It starts with a Google search. If you look for "kucoin" on Google and you don't have adblock, you will find several KuCoin phising websites (check the img).
All theese webs look identical to KuCoin in every way, but don't belong to them.
1/
All theese webs look identical to KuCoin in every way, but don't belong to them.
1/
All those webs redirect to "kucoiv". Some websites mask the URL, but I couldn't reproduce that actually
(check that here:
After entering in one of theese, they will ask for our user, password and then later our 2FA.
But behind that...
2/
(check that here:
https://twitter.com/DavMas8/status/1490817502984736772?t=JbbTuYSZo_HOfqnS58Q-Xg&s=19).
After entering in one of theese, they will ask for our user, password and then later our 2FA.
But behind that...
2/
...they're giving your credentials to some russian guy (img).
Concretely to the web grauwakel.com. If we WHOIS this web we can check that it was registered in reg.com, a russian company (img2).
3/
Concretely to the web grauwakel.com. If we WHOIS this web we can check that it was registered in reg.com, a russian company (img2).
3/
That's a dead end unless the company gives us their ID, which they won't until police asks them.
Now let's continue with the operation.
After receiving our credentials they immediatley login into your account and try to create a master API key.
4/
Now let's continue with the operation.
After receiving our credentials they immediatley login into your account and try to create a master API key.
4/
You may wonder, whats an API?
Basically it's a key linked to your account that allows you to operate outside KuCoin in an easy way. For example for tracking your portofolio or tading with a bot.
And theese API can have more or less "power".
5/
Basically it's a key linked to your account that allows you to operate outside KuCoin in an easy way. For example for tracking your portofolio or tading with a bot.
And theese API can have more or less "power".
5/
If we gave them all the power you would be able to do everything with that API, even withdraw funds.
Now let's get back to the thread. To finnish the API creation you need to confirm that with a code that is sent tu your email (img).
6/
Now let's get back to the thread. To finnish the API creation you need to confirm that with a code that is sent tu your email (img).
6/
Without that code they can't create it. But they have a plan.
In parallel, when you try to login again, insted of asking for your 2FA, they ask for a code that they sent to your email.
And fool of you, you will type the code asked for the API.
7/
In parallel, when you try to login again, insted of asking for your 2FA, they ask for a code that they sent to your email.
And fool of you, you will type the code asked for the API.
7/
¡Et voilà!
The API is created and they can do whatever they want to.
Now they sell your funds to BTC and withdraw them to their wallets. And you won't even notice that.
Same modus operandi: they withdraw up to 0,86BTC to a wallet and keep the funds there.
8/
The API is created and they can do whatever they want to.
Now they sell your funds to BTC and withdraw them to their wallets. And you won't even notice that.
Same modus operandi: they withdraw up to 0,86BTC to a wallet and keep the funds there.
8/
In that images, the left node blongs to a KuCoin's hot wallet and the one in the right to the hacker's wallet.
This is another dead end: those wallets still have the funds and have no outputs. We have to wait to check what they do.
9/
This is another dead end: those wallets still have the funds and have no outputs. We have to wait to check what they do.
9/
In conclussion, even if the users have its part of the fault, KuCoin should have frozen the account instantly when 2 IPs from different places are logged at the same time.
The hacker connects to an IP near the user with their VPN, but that's not an excuse for them.
10/
The hacker connects to an IP near the user with their VPN, but that's not an excuse for them.
10/
To sum up, take care of the URLs you visit and, if you can, purchase a yubikey or similar.
And remember, not your keys not your coins.
Like and share. Affected people will thank you.
Greetings,
Ericonomic.
And remember, not your keys not your coins.
Like and share. Affected people will thank you.
Greetings,
Ericonomic.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
