- Al menos 8 proyectos criptográficos podrían haberse visto comprometidos en la brecha de Fractal ID.
- Entre los protocolos en peligro debido a esta brecha se encuentran Polygon, Ripple y NEAR.
GnosisPay, Polygon, Ripple y NEAR se encuentran entre los criptoproyectos afectados recientemente por una filtración de datos en Fractal ID, un popular servicio de verificación de clientes. Gnosis Pay alertó a sus clientes de la filtración el miércoles a través de un correo electrónico de atención al cliente.
Disección de la violación de datos de Fractal ID
El correo electrónico decía: «A las 19:30 CET del lunes 15 de julio de 2024, nuestro proveedor de servicios de Conozca a su Cliente (KYC) Fractal ID hizo saber al equipo de Gnosis Pay que había sufrido una violación de datos el domingo 14 de julio de 2024.»
El cofundador de Fractal, Julian Leitloff, ha confirmado desde entonces el exploit, afirmando que se notó actividad sospechosa con una sola cuenta del operador.
Aproximadamente el 0,5% del millón de usuarios de Fractal ID se vieron afectados en la brecha, según se reveló en la cuenta oficial X de la plataforma. Leitloff, sin embargo, reconoció que el acceso se detuvo rápidamente y que la causa se identificó con la ayuda de soporte externo.
El domingo 14 de julio de 2024 la base de usuarios de Fractal ID fue accedida por una parte externa maliciosa que obtuvo acceso no autorizado a la cuenta de un operador. Nuestro equipo actuó con rapidez, pero aproximadamente el 0,5% de nuestra base de usuarios se vio afectada.
Nuestra primera línea de responsabilidades recae en los usuarios..
– FRACTAL ID (@Fractal_ID) 17 de julio de 2024
No obstante, aproximadamente el 0,5% de la base de usuarios de Gnosis se vio afectada. La información potencialmente comprometida incluye la contenida en el perfil de usuario de Fractal ID. Estos datos pueden incluir información como direcciones de monedero, direcciones de correo electrónico, números de teléfono e imágenes de documentos subidos.
Leitloff añadió que el ataque tenía como objetivo el acceso a la cuenta del operador, en lugar de ser específico de Gnosis. «El sistema en sí no se vio afectado, sino esta cuenta, es decir, todos los usuarios a los que esa cuenta tenía acceso», señaló Leitloff.
El reciente ataque ha suscitado preocupación sobre la seguridad de Fractal y de los servicios de verificación en general. Un usuario de X, @arlery, expresó sus temores sobre la brecha al afirmar: «Fractal KYC requiere mostrar una prueba de identidad y de residencia, etc.». Lo utilicé para Optimism retro KYC y Thrive/Arbitrum KYC. El hecho de que se hayan visto comprometidos es muy alarmante»
Fractal, sin embargo, ha prometido tomar medidas inmediatas para mitigar el impacto de una brecha e implementar nuevas medidas de seguridad. En consecuencia, la plataforma dijo que ha informado de la reciente situación a las autoridades de protección de datos y a la división policial de ciberdelincuencia.
Fractal ID es un sistema interoperable de identidad descentralizada para Web3. Al igual que otros proveedores de servicios KYC y contra el blanqueo de capitales (AML), Fractal ID recopila y almacena datos sensibles de los usuarios, denominados información de identificación personal.
Según su sitio web, Fractal ID proporciona asistencia para el cumplimiento de al menos ocho criptoprotocolos, incluidos Polygon, Ripple, Near y más de 250 empresas.
El auge de la identidad descentralizada para la verificación
Vale la pena señalar que muchas infraestructuras de blockchain están integrando ahora la identidad descentralizada como un componente central.
Este esfuerzo se está realizando a medida que pasan de la capa de dApp a la capa de infraestructura fundamental. Esto es similar a los exploradores, monederos y oráculos.
Como señalamos en nuestro artículo anterior, la red Hedera ha formado una alianza con Tuum Technologies para la integración de Identity Snap con MetaMask.
Esta colaboración se dirige a los desarrolladores interesados en desarrollar identificadores digitales (DID) y credenciales verificables (VC) en la red Hedera.
En un movimiento similar, IOTA colaboró recientemente con el gobierno de Taiwán para implementar soluciones de identificación descentralizadas. Como destacamos en nuestro anterior artículo, esta asociación se suma a la anterior colaboración de IOTA con la Unión Europea en su solución de identidad digital EDIC.