Un plugin fraudulento de Cursor AI robó la clave privada del core dev Zak Cole, revelando un creciente vector de ataque contra constructores cripto.
El incidente
Zak Cole, desarrollador principal de Ethereum, informó que su billetera fue vaciada tras instalar una extensión de inteligencia artificial maliciosa para Cursor AI llamada contractshark.solidity-lang.
El complemento, que aparentaba ser legítimo con más de 54.000 descargas, leyó su archivo .env y envió su clave privada a un servidor controlado por el atacante, permitiéndole acceso a su hot wallet durante tres días antes de drenar los fondos el pasado 10 de agosto.
“En más de 10 años, nunca había perdido un solo wei ante hackers… hasta que me apresuré en desplegar un contrato la semana pasada”, explicó Cole.
El daño económico fue limitado a unos pocos cientos de dólares en ETH, gracias a que el desarrollador utiliza billeteras calientes separadas para pruebas y mantiene sus fondos principales en hardware wallets.
Amenaza creciente: extensiones como vector de ataque
Los llamados wallet drainers —malware diseñado para robar activos digitales— se han convertido en una amenaza creciente para inversores y desarrolladores.
En septiembre de 2024, un drainer disfrazado de WalletConnect Protocol robó más de $70.000 en criptoactivos tras permanecer más de cinco meses en Google Play.
Según Hakan Unal (Cyvers), las extensiones de entornos de desarrollo como VS Code están siendo utilizadas cada vez más en ataques, recurriendo a falsos editores y técnicas de typosquatting para robar claves privadas.
Recomendaciones de seguridad
- Verificar la legitimidad de extensiones antes de instalarlas.
- Evitar almacenar claves o secretos en texto plano o en archivos
.env. - Utilizar hardware wallets para fondos principales.
- Desarrollar en entornos aislados y seguros.
