Las criptomonedas son el objetivo perfecto para los ciberdelincuentes: hay muchas formas de robarlas y es muy difícil que las víctimas las recuperen. Algunos ciberdelincuentes se forran con ello, obteniendo decenas o, a veces, cientos de millones de dólares en ataques a plataformas de intercambio de criptomonedas (cripto exchanges). En este post analizamos los 5 robos más grandes de la relativamente corta historia de las criptomonedas. Y también incluimos un bonus final: una increíble historia sobre un robo de criptomonedas que es digna de una serie de Netflix…
5. Llave maestra
Víctima: Plataforma de intercambio de criptomonedas KuCoin
Fecha: 26 de septiembre de 2020
Pérdida: alrededor de 285 millones de dólares
La noche del 25 al 26 de septiembre de 2020, los guardias de seguridad de la empresa KuCoin, con sede en Singapur, detectaron varias transacciones anormales de distintos monederos calientes (o hot wallets). Para detener las transacciones sospechosas, transfirieron todos los activos restantes de los monederos calientes comprometidos a un un almacenamiento en frío (monederos fríos o cold wallets, en inglés). Todo el incidente duró aproximadamente dos horas desde que fue detectado hasta su finalización. Durante este tiempo, los atacantes lograron retirar aproximadamente 285 millones de dólares en varias criptomonedas.
La investigación reveló que los cibercriminales habían accedido a las claves privadas de los monederos calientes. Uno de los principales sospechosos de este ataque es el grupo Lazarus, una pandilla cibernética de APT de Corea del Norte, ya que los atacantes utilizaron un algoritmo de múltiples etapas para blanquear el botín similar a los mecanismos utilizados en ataques anteriores por parte del grupo Lazarus. En primer lugar, traspasaron cantidades similares de criptomonedas a través de un mezclador de criptomonedas (una herramienta que se utiliza para mezclar fondos de criptomonedas con otros para ocultar el rastro), y, después, transfirieron las criptomonedas a través de plataformas descentralizadas.
A pesar de su magnitud, este ataque no supuso el final del intercambio de criptomonedas. Al día siguiente, el CEO de KuCoin, Johnny Lyu, durante una transmisión en vivo, prometió reembolsar los fondos robados. Lyu cumplió su palabra y, en noviembre de 2020, tuiteó que el 84 % de los activos afectados habían sido devueltos a sus propietarios. El 16 % restante estaba cubierto por el fondo del seguro de KuCoin.
4. Dinero de la nada
Víctima: Puente cross-chain de Wormhole
Fecha: 2 de febrero de 2022
Pérdida: 334 millones de dólares
El siguiente puesto de nuestro top 5 lo ocupa un atraco que usó una vulnerabilidad en Wormhole, el protocolo de puente cross-chain. Aquí los ciberdelincuentes se vieron favorecidos por el hecho de que los desarrolladores de la plataforma hicieron público el código de su programa. Pero lo primero es lo primero…
Wormhole es una herramienta que funciona como mediadora en las transacciones de criptomonedas. En concreto, permite a los usuarios mover tokens entre las redes Ethereum y Solana. Técnicamente, el intercambio funciona así: los tokens se congelan en una cadena, mientras que en la otra se emiten los llamados “tokens envueltos” del mismo valor.
Wormhole es un proyecto de código abierto que tiene su propio repositorio en GitHub. Poco antes del robo, los desarrolladores introdujeron en él un código para corregir una vulnerabilidad en el protocolo. Pero los atacantes lograron explotar la vulnerabilidad antes de que los cambios tuvieran efecto.
Este error les permitió eludir la verificación de la transacción en Solana y emitir 120 000 “ETH envueltos” (con un valor de alrededor de 334 millones de dólares en el momento del ataque) sin congelar la cantidad equivalente en la cadena de bloques Ethereum. Los ciberdelincuentes transfirieron dos tercios de la cantidad total de un monedero de Ethereum y usaron el resto para comprar otros tokens.
Wormhole apeló públicamente a los atacantes para que devolvieran los fondos robados y facilitaran los detalles de la explotación por una recompensa de 10 millones de dólares. Sin embargo, los ciberdelincuentes ignoraron esta generosa oferta.
El día después del robo, Wormhole tuiteó que todos los fondos habían sido restaurados y que el puente funcionaba como lo hacía previamente. El agujero financiero se cerró gracias a Jump Trading, la compañía que había comprado el desarrollador de Wormhole seis meses antes del incidente. A juzgar por la información procedente de fuentes públicas, todavía se desconocen los culpables.
3. Un robo de tres años
Víctima: Criptoexchange de Mt.Gox
Fecha: febrero de 2014
Pérdida: 480 millones de dólares
La historia de Mt.Gox comienza en 2007, cuando esta era una plataforma de intercambio de cartas del juego Magic: El encuentro. Tres años después, en mitad de la creciente popularidad de las criptomonedas, Jed McCaleb, programador estadounidense y propietario de la web, decidió convertirla en un intercambio de criptomonedas, pero luego vendió el servicio al desarrollador francés Mark Karpelès en 2011. Tan solo dos años después, Mt.Gox comercializaba alrededor del 70 % del bitcoin mundial.
A este rápido ascenso le siguió un devastador golpe. El 7 de febrero de 2014, el exchange bloqueó de forma repentina todas las retiradas de bitcoin. La compañía echó la culpa a los problemas técnicos. Los clientes indignados se reunieron frente a la sede de Mt.Gox en Tokio, exigiendo la devolución de su dinero, pero hicieron oídos sordos a sus protestas.
Lo más destacado de esta historia es que el atraco de Mt.Gox comenzó en 2011. En ese momento, unos desconocidos ciberdelincuentes se hicieron con las contraseñas privadas de un monedero caliente en el exchange y comenzaron a desviar bitcoins de forma gradual. Para 2013, los ciberdelincuentes habían depositado en sus cuentas 630.000 BTC.
Finalmente, Mt.Gox dejó la comercialización el 28 de febrero de 2014, cuando Karpelès se declaró en bancarrota y se disculpó por las “carencias del sistema” que habían provocado la pérdida de aproximadamente 750.000 BTC de los fondos de los clientes además de 100.000 BTC propios. En general se calcula que la cantidad de fondos robados es de alrededor de 480 millones de dólares; este es el valor de la cantidad total de tokens robados según la tasa de cambio de un día previo al día en el que el intercambio se declaró en bancarrota, el 27 de febrero.
Sin embargo, hay que tener en cuenta que en el momento después de que Mt.Gox cesara su actividad y antes de que se declarara en bancarrota, el precio del bitcoin cayó de manera considerable. Si se calculara con la tasa de cambio del 6 de febrero (el día anterior al cierre de la bolsa), la pérdida sería de alrededor de 660 millones de dólares. No obstante, ambas cifras son aproximadas: no tienen en cuenta los tres años de duración del atraco durante los que la tasa de cambio fluctuó considerablemente. Por tanto, es difícil determinar la cantidad exacta del daño producido.
¿Cómo fue posible el ataque? Según algunos exempleados, la dirección de la empresa fue bastante negligente en muchos asuntos importantes, por ejemplo, Mt.Gox tenía serios problemas con los informes financieros. Además, nunca se llevó a cabo una adecuada auditoría de calidad y seguridad del código: por ejemplo, no había un sistema de control de versiones.
Los fiscales acusaron a Karpelès, propietario de Mt.Gox, de malversación de fondos de clientes por valor de 3 millones de dólares aproximadamente. Pero esto no se pudo probar ante los tribunales y, finalmente, Karpelès solo recibió una sentencia de suspensión de dos años y seis meses por manipulación de datos y fue absuelto de otros cargos.
2. Casi quinientos millones
Víctima: Plataforma de intercambio de criptomonedas Coincheck
Fecha: 26 de enero de 2018
Pérdida: 496 millones de dólares
Coincheck es uno de los exchange de criptomonedas más grandes de Japón. En 2018, los ciberdelincuentes lograron robar más de 500 millones de tokens NEM por aproximadamente la misma cantidad de dólares.
La empresa afirmó que su sistema de seguridad era fuerte y no informó sobre cómo llevaron a cabo exactamente el ataque los intrusos. Dicho esto, algunos expertos creen que los ciberdelincuentes pudieron haber obtenido acceso a las contraseñas privadas de los monederos calientes de Coincheck con la ayuda de malware insertado en un ordenador de la empresa.
Los atacantes crearon también una web propia donde vendían tokens NEM para bitcoin y otras criptomonedas con un descuento del 15 %. Como resultado de ello, la tasa de intercambio NEM cayó bruscamente y Coincheck perdió alrededor de 500 millones de dólares, sin embargo, esto no forzó el cierre del intercambio. Además, no se pudo rastrear a los delincuentes. El intercambio tuvo que suspender sus operaciones durante un tiempo y prometió compensar a los clientes con sus propios fondos.
1. Oferta de trabajo con sorpresa incluida
Víctima: Plataforma de blockchain Ronin Network
Fecha: 23 de marzo de 2022
Pérdida: 540 millones de dólares
Ronin Network fue creada por Sky Mavis para el juego Axie Infinity, que permite a los jugadores comprar la moneda del juego Smooth Love Potion (SLP). A finales de marzo de 2022, unos desconocidos atacantes le robaron a Ronin la cantidad récord de 540 millones de dólares en criptomonedas ayudados por el spyware y la magia de la ingeniería social.
El ataque dirigido tenía como objetivo a los empleados de Sky Mavis y uno de ellos mordió el anzuelo (probablemente en LinkedIn). Después de pasar por un “proceso de selección”, uno de los ingenieros superiores recibió una “oferta de trabajo” mediante un archivo PDF que contenía spyware. Esto permitió que los ladrones se hicieran con cuatro de las claves privadas de validación de la red.
Para obtener acceso a los activos de la empresa, necesitaban comprometer al menos cinco de los nueve validadores. Como mencionamos, el spyware les ayudó a conseguir cuatro claves. La quinta la consiguieron gracias a un descuido de la propia empresa, que había autorizado a Axie DAO (organización autónoma descentralizada, por sus siglas en inglés) a firmar transacciones para ayudar a Ronin Network a mitigar el volumen de usuarios, y luego no revocó los permisos.
Sin embargo, Sky Mavis se recuperó rápidamente del incidente. En junio de 2022, relanzó la plataforma de blockchain y empezó a compensar a los jugadores afectados.
Bonus: Un hackeo con reembolso
Objetivo: Protocolo cross-chain de Poly Network
Fecha: 10 de agosto de 2021
Pérdida (posteriormente recuperada): 610 millones de dólares
Como un extra, vamos a terminar con otro gran robo de criptomonedas, que terminó con la devolución de cada centavo del botín. Esto es lo que pasó…
Poly Network es otro protocolo más para implementar la interoperabilidad de blockchain. En el verano de 2021, fue testigo de uno de los robos más grandes de la historia de las criptomonedas. Un desconocido hacker robó más de 600 millones de dólares en varias criptomonedas aprovechando una vulnerabilidad en Poly Network.
Poly Network apeló al responsable en Twitter para que devolviera los tokens robados. Para asombro de todos, el hacker se puso en contacto y accedió a hacerlo y se procedió a transferir las fichas robadas poco a poco, dividiéndolas en varias partes desiguales.
El intercambio online entre el hacker y Poly Network se prolongó durante bastante tiempo durante el cual el atacante afirmó que no estaba interesado en el dinero y que solo había llevado a cabo el robo por “razones ideológicas”. Como muestra de gratitud, Poly Network retiró su demanda, garantizó su anonimato, le ofreció una recompensa de 500.000 dólares e incluso le invitó a convertirse en su principal consultor de seguridad. También lanzó un programa de recompensas por errores valorado en 500.000 dólares.
No es una moraleja como tal, pero…
Hemos hecho una lista con el top 5 de los principales robos de criptomonedas y todos ellos estaban dirigidos a organizaciones importantes. Pero hay que tener en cuenta que muchos incidentes menores también afectan continuamente a los usuarios comunes. Por tanto, todos los inversores deben tomar medidas para proteger sus activos. Dejamos aquí algunos consejos útiles:
- Elige cuidadosamente tus plataformas de intercambio y otras operaciones: revisa los comentarios y las reseñas y, si es posible, consulta con otros usuarios con experiencia en los que confíes.
- No facilites a nadie tus datos de inicio de sesión de las cuentas de exchange ni las credenciales de tu monedero. Recuerda mantener en secreto no solo las contraseñas y claves privadas, sino también tu frase semilla.
- Guarda tus principales ahorros de criptomonedas en monederos fríos: a diferencia de los calientes, no necesitan estar online de forma permanente y, por tanto, por lo general son más seguros.
- Si usas un monedero caliente, habilita la verificación en dos pasos.
- Ten cuidado con el phishing. Para aprender a detectar a los cazadores de criptomonedas, revisa este post.
- Usa una solución fiable que proteja tus transacciones financieras, evitará que el malware te robe la contraseña de tu monedero o tu clave privada y te advertirá sobre las páginas web fraudulentas.