{"id":25480,"date":"2022-11-05T03:30:33","date_gmt":"2022-11-05T09:30:33","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25480"},"modified":"2022-11-05T03:30:33","modified_gmt":"2022-11-05T09:30:33","slug":"top-5-cryptocurrency-heists","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/top-5-cryptocurrency-heists\/25480\/","title":{"rendered":"Top 5 de los mayores robos de criptomonedas de la historia"},"content":{"rendered":"

Las criptomonedas son el objetivo ideal para los cibercriminales: existen muchas formas de robarlas y es muy dif\u00edcil que las v\u00edctimas las recuperen. Y algunos hackers realizan matanzas absolutas: obtienen decenas o, a veces, cientos de millones de d\u00f3lares de un ataque de intercambio criptogr\u00e1fico. En este post analizamos los 5 robos m\u00e1s grandes de la historia, relativamente corta, de las criptomonedas. Y hay un bonus final: la incre\u00edble historia de un robo de criptomonedas digno de una serie de Netflix\u2026<\/p>\n

5.<\/strong> La clave maestra<\/strong><\/h2>\n

V\u00edctima: <\/strong>Intercambio de criptomonedas KuCoin<\/p>\n

Fecha: <\/strong>26 de septiembre de 2020<\/p>\n

P\u00e9rdida: <\/strong>alrededor de $285 millones<\/p>\n

La noche del 25 para el 26 de septiembre de 2020, los oficiales de seguridad de la empresa KuCoin, con sede en Singapur, detectaron<\/a> varias transacciones anormales de distintos monederos calientes (o hot wallets<\/em>). Para detener las transacciones sospechosas, transfirieron todos los activos restantes de los monederos calientes comprometidos a un almacenamiento en fr\u00edo<\/a>(cold wallets<\/em>). Todo el incidente dur\u00f3 aproximadamente dos horas desde la detecci\u00f3n hasta la finalizaci\u00f3n. Durante este tiempo, los atacantes lograron retirar aproximadamente $285 millones<\/a> en varias criptomonedas.<\/p>\n

La investigaci\u00f3n revel\u00f3 que los cibercriminales hab\u00edan accedido a las claves privadas de los hot wallets. Uno de los principales sospechosos es el grupo Lazarus, una pandilla cibern\u00e9tica APT<\/a> de Corea del Norte. Esto se debe a que los atacantes utilizaron un algoritmo de varias etapas para lavar el bot\u00edn, similar a los esquemas utilizados en ataques anteriores por parte del grupo Lazarus. Primero, ejecutaron cantidades iguales de criptomonedas a trav\u00e9s de un tumbler<\/em><\/a>, o mezclador, (una herramienta para mezclar fondos de criptomonedas con otros para ocultar el rastro), despu\u00e9s, transfirieron las criptomonedas a trav\u00e9s de plataformas descentralizadas<\/a>.<\/p>\n

A pesar de la escala, este ataque no fue el final del intercambio de criptomonedas. Al d\u00eda siguiente, el CEO de KuCoin, Johnny Lyu, durante una transmisi\u00f3n en vivo, prometi\u00f3 reembolsar los fondos robados. Lyu cumpli\u00f3 su palabra y, en noviembre de 2020, tuite\u00f3 que el 84 % de los activos afectados hab\u00edan sido devueltos a sus propietarios<\/a>. El 16% restante estaba cubierto<\/a> por el fondo de seguros de KuCoin.<\/p>\n

4. Dinero de la nada<\/strong><\/h2>\n

V\u00edctima: <\/strong>Puente de cross-chain<\/em> de Wormhole<\/p>\n

Fecha: <\/strong>2 de febrero de 2022<\/p>\n

P\u00e9rdida: <\/strong>$334 millones<\/p>\n

El siguiente n\u00famero de nuestro Top 5 es un atraco que us\u00f3 una vulnerabilidad en Wormhole, el protocolo de puente cross-chain<\/em><\/a>. Los ciberdelincuentes se vieron favorecidos por el hecho de que los desarrolladores de la plataforma hicieron p\u00fablico el c\u00f3digo de su programa. Pero primero lo primero\u2026<\/p>\n

Wormhole es una herramienta mediadora en las transacciones de criptomonedas. Espec\u00edficamente, permite a los usuarios mover tokens entre las redes Ethereum y Solana. T\u00e9cnicamente, el intercambio funciona as\u00ed: los tokens se congelan en una cadena, mientras que los llamados \u201ctokens envueltos\u201d del mismo valor se emiten en la otra.<\/p>\n

Wormhole es un proyecto de c\u00f3digo abierto con su propio repositorio en GitHub. Poco antes del robo, los desarrolladores colocaron por all\u00ed un c\u00f3digo para corregir una vulnerabilidad en el protocolo. Pero los atacantes lograron explotar la vulnerabilidad<\/a> antes de que los cambios surtieran efecto.<\/p>\n

Este error les permiti\u00f3 eludir la verificaci\u00f3n de la transacci\u00f3n<\/a> en el lado de Solana y emitir 120 000 \u201cETH envueltos\u201d (con un valor de alrededor de $ 334 millones al momento del ataque) sin congelar la garant\u00eda equivalente en la cadena de bloques Ethereum. Los ciberdelincuentes transfirieron dos tercios del monto total a un monedero Ethereum y usaron el resto para comprar otros tokens.<\/p>\n

Wormhole apel\u00f3 p\u00fablicamente para que los atacantes devolvieran los fondos robados y dieran detalle de sus actos por una recompensa de $10 millones<\/a>. Los cibercriminales ignoraron esta generosa oferta.<\/p>\n

El d\u00eda despu\u00e9s del robo, Wormhole tuite\u00f3<\/a> que todos los fondos hab\u00edan sido restaurados y que el puente funcionaba como antes. El agujero financiero fue cerrado<\/a> por Jump Trading, la compa\u00f1\u00eda que hab\u00eda comprado el desarrollador de Wormhole seis meses antes del incidente. A juzgar por la informaci\u00f3n de fuente abierta, todav\u00eda se desconocen los culpables.<\/p>\n

3. Robo de tres a\u00f1os<\/strong><\/h2>\n

V\u00edctima: <\/strong>Criptointercambios de Mt.Gox<\/p>\n

Fecha: <\/strong>febrero de 2014<\/p>\n

P\u00e9rdida: <\/strong>$480 millones<\/p>\n

La historia de Mt.Gox comienza<\/a> por 2007, cuando era una plataforma de intercambio de cartas del juego Magic: The Gathering<\/a>. Tres a\u00f1os despu\u00e9s, en medio de la creciente popularidad de las criptomonedas, Jed McCaleb, programador estadounidense y propietario del sitio, decidi\u00f3 convertirlo en un exchange<\/em> de criptomonedas, pero luego vendi\u00f3 el servicio al desarrollador franc\u00e9s Mark Karpel\u00e8s en 2011. Tan solo dos a\u00f1os despu\u00e9s, Mt.Gox comercializaba<\/a> alrededor del 70% del bitcoin del mundo.<\/p>\n

Este r\u00e1pido ascenso fue seguido por un choque paralizante. El 7 de febrero de 2014, el exchange bloque\u00f3 todos los retiros de bitcoin de forma repentina. La compa\u00f1\u00eda adjudic\u00f3<\/a> la culpa a problemas t\u00e9cnicos. Los clientes indignados se reunieron frente a la sede de Mt.Gox en Tokio, exigiendo la devoluci\u00f3n de su dinero. Su protesta cay\u00f3 en o\u00eddos sordos.<\/p>\n

Lo notable de esta historia es que el atraco de Mt.Gox comenz\u00f3 en 2011. En ese entonces, hackers desconocidos se apoderaron<\/a> de las contrase\u00f1as privadas de un hot wallet en el exchange y comenzaron a desviar bitcoins de manera gradual. Para 2013, los cibercriminales hab\u00edan depositado 630 000 BTC en sus cuentas.<\/p>\n

Finalmente, Mt.Gox dej\u00f3 de cotizar el 28 de febrero de 2014, cuando Karpel\u00e8s se declar\u00f3<\/a> en bancarrota y se disculp\u00f3 por las \u201cdebilidades en el sistema\u201d que hab\u00edan eliminado aproximadamente 750 000 BTC de los fondos de los clientes, as\u00ed como 100 000 BTC propios. Usualmente se calcula que la cantidad de fondos robados se encuentra alrededor de $ 480 millones; este es el valor de la cantidad total de tokens robados al tipo de cambio de un d\u00eda antes de que el exchange se declarara en bancarrota, el 27 de febrero.<\/p>\n

Sin embargo, hay que tomar en cuenta que en el tiempo posterior a que Mt.Gox dej\u00f3 de operar y antes de que se declarara en bancarrota, el precio del bitcoin cay\u00f3 de manera considerable. Si se calcula al tipo de cambio del 6 de febrero (el d\u00eda anterior al cierre de la bolsa), la p\u00e9rdida ser\u00eda de alrededor de 660 millones de d\u00f3lares. No obstante, ambas cifras son provisionales: no toman en cuenta la duraci\u00f3n de tres a\u00f1os del atraco, tiempo durante el cual el tipo de cambio fluctu\u00f3 enormemente. Por tanto, es dif\u00edcil determinar la cantidad exacta del da\u00f1o.<\/p>\n

\"Tasa

Tasa de cambio de Bitcoin en febrero de 2014. Fuente<\/a><\/p><\/div>\n

\u00bfC\u00f3mo fue posible el ataque? Seg\u00fan exempleados<\/a>, la direcci\u00f3n de la empresa fue bastante negligente en varios asuntos importantes. Por ejemplo, Mt.Gox ten\u00eda serios problemas con los informes financieros. Adem\u00e1s, nunca se llev\u00f3 a cabo una adecuada auditor\u00eda de calidad y seguridad del c\u00f3digo: por ejemplo, no hab\u00eda un sistema de control de versiones.<\/p>\n

Los fiscales acusaron<\/a> a Karpel\u00e8s,\u00a0 propietario de Mt.Gox, de malversaci\u00f3n de fondos de clientes con valor de $ 3 millones aproximadamente. Pero esto no se pudo probar en la corte. Al final, Karpel\u00e8s solo recibi\u00f3 una sentencia de suspensi\u00f3n por dos a\u00f1os y seis meses por manipulaci\u00f3n de datos y fue absuelto de otros cargos.<\/p>\n

2. Casi quinientos millones<\/strong><\/h2>\n

V\u00edctima: <\/strong>Intercambio de criptomonedas Coincheck<\/p>\n

Fecha: <\/strong>26 de enero de 2018<\/p>\n

P\u00e9rdida: <\/strong>$496 millones<\/p>\n

Coincheck es uno de los sitios de intercambios de criptomonedas m\u00e1s grandes de Jap\u00f3n. En 2018, los cibercriminales lograron robar<\/a> m\u00e1s de 500 millones de tokens NEM por un valor aproximado de la misma cantidad en d\u00f3lares.<\/p>\n

La empresa afirm\u00f3 que su sistema de seguridad era robusto y no inform\u00f3 c\u00f3mo fue que los intrusos llevaron a cabo el ataque exactamente. Dicho esto, algunos expertos creen que los cibercriminales pudieron haber obtenido acceso a las contrase\u00f1as privadas de los hot wallets de Coincheck con la ayuda de malware incrustado en una computadora en la oficina de la compa\u00f1\u00eda.<\/p>\n

Los atacantes crearon tambi\u00e9n un sitio propio donde vend\u00edan<\/a> tokens NEM para bitcoin y otras criptomonedas con un descuento del 15 %. Como resultado, el tipo de cambio NEM cay\u00f3 bruscamente y Coincheck perdi\u00f3 alrededor de $ 500 millones, sin embargo, esto no oblig\u00f3 a cerrar el exchange. Adem\u00e1s, no se pudo rastrear a los criminales. El exchange tuvo que suspender operaciones por un tiempo y prometi\u00f3 compensar<\/a> a los clientes con sus propios fondos.<\/p>\n

\"\"

Tasa de cambio NEM despu\u00e9s del incidente de Coincheck. Fuente<\/a><\/p><\/div>\n

1. Oferta de trabajo con sorpresa incluida<\/strong><\/h2>\n

V\u00edctima: <\/strong>Plataforma de blockchain de Ronin Network<\/p>\n

Fecha: <\/strong>23 de marzo de 2022<\/p>\n

P\u00e9rdida: <\/strong>$540 millones<\/p>\n

Ronin Network fue creado por Sky Mavis para el juego Axie Infinity<\/a>, que permite a los jugadores comprar la moneda del juego Smooth Love Potion (SLP)<\/a>. A finales de marzo de 2022, atacantes desconocidos le robaron<\/a> a Ronin un valor r\u00e9cord de 540 millones de d\u00f3lares en criptomonedas. Fueron ayudados por spyware y la magia de la ingenier\u00eda social.<\/p>\n

El ataque dirigido<\/a> se enfocaba en los empleados de Sky Mavis, uno de los cuales mordi\u00f3 el anzuelo (probablemente en LinkedIn). Despu\u00e9s de pasar un \u201cproceso de selecci\u00f3n\u201d, uno de los ingenieros superiores recibi\u00f3 una \u201coferta de trabajo\u201d en forma de un archivo PDF con software esp\u00eda en su interior. Esto permiti\u00f3 que los ladrones tomaran el control de cuatro de las claves privadas de validaci\u00f3n<\/a> de la red.<\/p>\n

Para obtener acceso a los activos de la empresa, necesitaban comprometer al menos cinco de los nueve validadores. Como mencionamos, el spyware les ayud\u00f3 a conseguir cuatro llaves. El quinto lo consiguieron debido a un descuido de la propia empresa, que hab\u00eda autorizado a Axie DAO<\/a> (organizaci\u00f3n aut\u00f3noma descentralizada, por sus siglas en ingl\u00e9s) a firmar transacciones para ayudar a Ronin Network a mitigar el volumen de usuarios, y luego se olvidaron de revocar el permiso.<\/p>\n

Sin embargo, Sky Mavis se recuper\u00f3 r\u00e1pidamente del incidente. En junio de 2022, relanz\u00f3<\/a> la plataforma blockchain y comenz\u00f3 a compensar a los jugadores afectados.<\/p>\n

\"Personaje

Personaje NFT del juego basado en blockchain Axie Infinity. Fuente<\/a><\/p><\/div>\n

Bonus. Un hack<\/em> con reembolso<\/strong><\/h2>\n

Objetivo: <\/strong>Protocolo de cross-chain de Poly Network<\/p>\n

Fecha: <\/strong>10 de agosto de 2021<\/p>\n

P\u00e9rdida (posteriormente recuperada): <\/strong>$610 millones<\/p>\n

Como historia adicional, terminemos con otro gran robo de criptomonedas, que termin\u00f3 con la devoluci\u00f3n de cada centavo del bot\u00edn. Esto es lo que pas\u00f3\u2026<\/p>\n

Poly Network<\/a> es otro protocolo m\u00e1s para implementar la interoperabilidad de blockchain. En el verano de 2021, fue testigo de uno de los robos m\u00e1s grandes en la historia de las criptomonedas. Un hacker desconocido, aprovechando una vulnerabilidad en Poly Network, rob\u00f3 m\u00e1s de $600 millones en varias criptomonedas<\/a>.<\/p>\n

Poly Network apel\u00f3<\/a> al perpetrador en Twitter para que devolviera los tokens robados. Para asombro de todos, el hacker se puso en contacto<\/a> y accedi\u00f3. Procedieron a transferir las fichas robadas poco a poco, dividi\u00e9ndolas en varias partes desiguales.<\/p>\n

El intercambio online<\/em> entre el hacker y Poly Network se prolong\u00f3 durante bastante tiempo. Durante el mismo, el atacante afirm\u00f3 que no estaba interesado en el dinero y que solo hab\u00eda llevado a cabo el atraco por \u201crazones ideol\u00f3gicas\u201d. Como muestra de gratitud, Poly Network retir\u00f3 los reclamos en su contra, garantiz\u00f3 su anonimato, ofreci\u00f3<\/a> una recompensa de $500,000 e incluso lo invit\u00f3 a convertirse en su principal consultor de seguridad. Tambi\u00e9n lanz\u00f3 un programa de recompensas por errores<\/a> valuado en 500.000 d\u00f3lares.<\/p>\n

No existe moraleja como tal, pero\u2026<\/strong><\/h2>\n

Hemos enlistado el top 5 de principales robos de criptomonedas, donde todos se dirigieron a organizaciones importantes. Pero, claro, muchos incidentes menores afectan a los usuarios comunes todo el tiempo. Por tanto, todos los inversores deben tomar medidas para proteger sus activos. Dejamos aqu\u00ed algunos consejos \u00fatiles:<\/p>\n