Las criptomonedas son el objetivo ideal para los cibercriminales: existen muchas formas de robarlas y es muy difícil que las víctimas las recuperen. Y algunos hackers realizan matanzas absolutas: obtienen decenas o, a veces, cientos de millones de dólares de un ataque de intercambio criptográfico. En este post analizamos los 5 robos más grandes de la historia, relativamente corta, de las criptomonedas. Y hay un bonus final: la increíble historia de un robo de criptomonedas digno de una serie de Netflix…
5. La clave maestra
Víctima: Intercambio de criptomonedas KuCoin
Fecha: 26 de septiembre de 2020
Pérdida: alrededor de $285 millones
La noche del 25 para el 26 de septiembre de 2020, los oficiales de seguridad de la empresa KuCoin, con sede en Singapur, detectaron varias transacciones anormales de distintos monederos calientes (o hot wallets). Para detener las transacciones sospechosas, transfirieron todos los activos restantes de los monederos calientes comprometidos a un almacenamiento en frío(cold wallets). Todo el incidente duró aproximadamente dos horas desde la detección hasta la finalización. Durante este tiempo, los atacantes lograron retirar aproximadamente $285 millones en varias criptomonedas.
La investigación reveló que los cibercriminales habían accedido a las claves privadas de los hot wallets. Uno de los principales sospechosos es el grupo Lazarus, una pandilla cibernética APT de Corea del Norte. Esto se debe a que los atacantes utilizaron un algoritmo de varias etapas para lavar el botín, similar a los esquemas utilizados en ataques anteriores por parte del grupo Lazarus. Primero, ejecutaron cantidades iguales de criptomonedas a través de un tumbler, o mezclador, (una herramienta para mezclar fondos de criptomonedas con otros para ocultar el rastro), después, transfirieron las criptomonedas a través de plataformas descentralizadas.
A pesar de la escala, este ataque no fue el final del intercambio de criptomonedas. Al día siguiente, el CEO de KuCoin, Johnny Lyu, durante una transmisión en vivo, prometió reembolsar los fondos robados. Lyu cumplió su palabra y, en noviembre de 2020, tuiteó que el 84 % de los activos afectados habían sido devueltos a sus propietarios. El 16% restante estaba cubierto por el fondo de seguros de KuCoin.
4. Dinero de la nada
Víctima: Puente de cross-chain de Wormhole
Fecha: 2 de febrero de 2022
Pérdida: $334 millones
El siguiente número de nuestro Top 5 es un atraco que usó una vulnerabilidad en Wormhole, el protocolo de puente cross-chain. Los ciberdelincuentes se vieron favorecidos por el hecho de que los desarrolladores de la plataforma hicieron público el código de su programa. Pero primero lo primero…
Wormhole es una herramienta mediadora en las transacciones de criptomonedas. Específicamente, permite a los usuarios mover tokens entre las redes Ethereum y Solana. Técnicamente, el intercambio funciona así: los tokens se congelan en una cadena, mientras que los llamados “tokens envueltos” del mismo valor se emiten en la otra.
Wormhole es un proyecto de código abierto con su propio repositorio en GitHub. Poco antes del robo, los desarrolladores colocaron por allí un código para corregir una vulnerabilidad en el protocolo. Pero los atacantes lograron explotar la vulnerabilidad antes de que los cambios surtieran efecto.
Este error les permitió eludir la verificación de la transacción en el lado de Solana y emitir 120 000 “ETH envueltos” (con un valor de alrededor de $ 334 millones al momento del ataque) sin congelar la garantía equivalente en la cadena de bloques Ethereum. Los ciberdelincuentes transfirieron dos tercios del monto total a un monedero Ethereum y usaron el resto para comprar otros tokens.
Wormhole apeló públicamente para que los atacantes devolvieran los fondos robados y dieran detalle de sus actos por una recompensa de $10 millones. Los cibercriminales ignoraron esta generosa oferta.
El día después del robo, Wormhole tuiteó que todos los fondos habían sido restaurados y que el puente funcionaba como antes. El agujero financiero fue cerrado por Jump Trading, la compañía que había comprado el desarrollador de Wormhole seis meses antes del incidente. A juzgar por la información de fuente abierta, todavía se desconocen los culpables.
3. Robo de tres años
Víctima: Criptointercambios de Mt.Gox
Fecha: febrero de 2014
Pérdida: $480 millones
La historia de Mt.Gox comienza por 2007, cuando era una plataforma de intercambio de cartas del juego Magic: The Gathering. Tres años después, en medio de la creciente popularidad de las criptomonedas, Jed McCaleb, programador estadounidense y propietario del sitio, decidió convertirlo en un exchange de criptomonedas, pero luego vendió el servicio al desarrollador francés Mark Karpelès en 2011. Tan solo dos años después, Mt.Gox comercializaba alrededor del 70% del bitcoin del mundo.
Este rápido ascenso fue seguido por un choque paralizante. El 7 de febrero de 2014, el exchange bloqueó todos los retiros de bitcoin de forma repentina. La compañía adjudicó la culpa a problemas técnicos. Los clientes indignados se reunieron frente a la sede de Mt.Gox en Tokio, exigiendo la devolución de su dinero. Su protesta cayó en oídos sordos.
Lo notable de esta historia es que el atraco de Mt.Gox comenzó en 2011. En ese entonces, hackers desconocidos se apoderaron de las contraseñas privadas de un hot wallet en el exchange y comenzaron a desviar bitcoins de manera gradual. Para 2013, los cibercriminales habían depositado 630 000 BTC en sus cuentas.
Finalmente, Mt.Gox dejó de cotizar el 28 de febrero de 2014, cuando Karpelès se declaró en bancarrota y se disculpó por las “debilidades en el sistema” que habían eliminado aproximadamente 750 000 BTC de los fondos de los clientes, así como 100 000 BTC propios. Usualmente se calcula que la cantidad de fondos robados se encuentra alrededor de $ 480 millones; este es el valor de la cantidad total de tokens robados al tipo de cambio de un día antes de que el exchange se declarara en bancarrota, el 27 de febrero.
Sin embargo, hay que tomar en cuenta que en el tiempo posterior a que Mt.Gox dejó de operar y antes de que se declarara en bancarrota, el precio del bitcoin cayó de manera considerable. Si se calcula al tipo de cambio del 6 de febrero (el día anterior al cierre de la bolsa), la pérdida sería de alrededor de 660 millones de dólares. No obstante, ambas cifras son provisionales: no toman en cuenta la duración de tres años del atraco, tiempo durante el cual el tipo de cambio fluctuó enormemente. Por tanto, es difícil determinar la cantidad exacta del daño.
¿Cómo fue posible el ataque? Según exempleados, la dirección de la empresa fue bastante negligente en varios asuntos importantes. Por ejemplo, Mt.Gox tenía serios problemas con los informes financieros. Además, nunca se llevó a cabo una adecuada auditoría de calidad y seguridad del código: por ejemplo, no había un sistema de control de versiones.
Los fiscales acusaron a Karpelès, propietario de Mt.Gox, de malversación de fondos de clientes con valor de $ 3 millones aproximadamente. Pero esto no se pudo probar en la corte. Al final, Karpelès solo recibió una sentencia de suspensión por dos años y seis meses por manipulación de datos y fue absuelto de otros cargos.
2. Casi quinientos millones
Víctima: Intercambio de criptomonedas Coincheck
Fecha: 26 de enero de 2018
Pérdida: $496 millones
Coincheck es uno de los sitios de intercambios de criptomonedas más grandes de Japón. En 2018, los cibercriminales lograron robar más de 500 millones de tokens NEM por un valor aproximado de la misma cantidad en dólares.
La empresa afirmó que su sistema de seguridad era robusto y no informó cómo fue que los intrusos llevaron a cabo el ataque exactamente. Dicho esto, algunos expertos creen que los cibercriminales pudieron haber obtenido acceso a las contraseñas privadas de los hot wallets de Coincheck con la ayuda de malware incrustado en una computadora en la oficina de la compañía.
Los atacantes crearon también un sitio propio donde vendían tokens NEM para bitcoin y otras criptomonedas con un descuento del 15 %. Como resultado, el tipo de cambio NEM cayó bruscamente y Coincheck perdió alrededor de $ 500 millones, sin embargo, esto no obligó a cerrar el exchange. Además, no se pudo rastrear a los criminales. El exchange tuvo que suspender operaciones por un tiempo y prometió compensar a los clientes con sus propios fondos.
1. Oferta de trabajo con sorpresa incluida
Víctima: Plataforma de blockchain de Ronin Network
Fecha: 23 de marzo de 2022
Pérdida: $540 millones
Ronin Network fue creado por Sky Mavis para el juego Axie Infinity, que permite a los jugadores comprar la moneda del juego Smooth Love Potion (SLP). A finales de marzo de 2022, atacantes desconocidos le robaron a Ronin un valor récord de 540 millones de dólares en criptomonedas. Fueron ayudados por spyware y la magia de la ingeniería social.
El ataque dirigido se enfocaba en los empleados de Sky Mavis, uno de los cuales mordió el anzuelo (probablemente en LinkedIn). Después de pasar un “proceso de selección”, uno de los ingenieros superiores recibió una “oferta de trabajo” en forma de un archivo PDF con software espía en su interior. Esto permitió que los ladrones tomaran el control de cuatro de las claves privadas de validación de la red.
Para obtener acceso a los activos de la empresa, necesitaban comprometer al menos cinco de los nueve validadores. Como mencionamos, el spyware les ayudó a conseguir cuatro llaves. El quinto lo consiguieron debido a un descuido de la propia empresa, que había autorizado a Axie DAO (organización autónoma descentralizada, por sus siglas en inglés) a firmar transacciones para ayudar a Ronin Network a mitigar el volumen de usuarios, y luego se olvidaron de revocar el permiso.
Sin embargo, Sky Mavis se recuperó rápidamente del incidente. En junio de 2022, relanzó la plataforma blockchain y comenzó a compensar a los jugadores afectados.
Bonus. Un hack con reembolso
Objetivo: Protocolo de cross-chain de Poly Network
Fecha: 10 de agosto de 2021
Pérdida (posteriormente recuperada): $610 millones
Como historia adicional, terminemos con otro gran robo de criptomonedas, que terminó con la devolución de cada centavo del botín. Esto es lo que pasó…
Poly Network es otro protocolo más para implementar la interoperabilidad de blockchain. En el verano de 2021, fue testigo de uno de los robos más grandes en la historia de las criptomonedas. Un hacker desconocido, aprovechando una vulnerabilidad en Poly Network, robó más de $600 millones en varias criptomonedas.
Poly Network apeló al perpetrador en Twitter para que devolviera los tokens robados. Para asombro de todos, el hacker se puso en contacto y accedió. Procedieron a transferir las fichas robadas poco a poco, dividiéndolas en varias partes desiguales.
El intercambio online entre el hacker y Poly Network se prolongó durante bastante tiempo. Durante el mismo, el atacante afirmó que no estaba interesado en el dinero y que solo había llevado a cabo el atraco por “razones ideológicas”. Como muestra de gratitud, Poly Network retiró los reclamos en su contra, garantizó su anonimato, ofreció una recompensa de $500,000 e incluso lo invitó a convertirse en su principal consultor de seguridad. También lanzó un programa de recompensas por errores valuado en 500.000 dólares.
No existe moraleja como tal, pero…
Hemos enlistado el top 5 de principales robos de criptomonedas, donde todos se dirigieron a organizaciones importantes. Pero, claro, muchos incidentes menores afectan a los usuarios comunes todo el tiempo. Por tanto, todos los inversores deben tomar medidas para proteger sus activos. Dejamos aquí algunos consejos útiles:
- Elije cuidadosamente tus plataformas para trading y otras operaciones: revisa los comentarios y reseñas y, si es posible, consulta con usuarios experimentados en los que confíes.
- No le des a nadie tus datos de inicio de sesión de cuentas para exchange ni las credenciales de tu monedero. Recuerda mantener en secreto no solo las contraseñas y claves privadas, sino también tu frase semilla.
- Guarda tus principales ahorros de criptomonedas en cold wallets: a diferencia de los calientes, no necesitan estar en línea de forma permanente y, por tanto, son más seguras en general.
- Si usas un hot wallet, asegúrate de habilitar la autenticación de dos pasos.
- Cuídate del phishing. Para aprender a detectar cazadores de criptomonedas, revisa este post.
- Usa una solución confiable que proteja tus transacciones financieras, evita que el malware robe la contraseña de tu monedero o tu clave privada y te advierte sobre sitios fraudulentos.