Por Hannah Pérez  

¿Fue el robo de USD $600 millones a FTX un trabajo de los criminales rusos, de los hackers norcoreanos o en cambio fue una hazaña interna? Los investigadores de Elliptic proporcionaron algunos detalles.

***

  • Elliptic señaló lazos entre los sindicatos criminales rusos y los hackers de FTX
  • A pesar de la evidencia, no descarta la posibilidad de que el responsable haya sido un empleado de FTX
  • FTX fue hackeado por cerca de USD $600 millones en noviembre de 2022
  • La identidad del ladrón sigue siendo un misterio, pero algunos sospechan de Bankman-Fried

Poco después de que FTX se declarara oficialmente en bancarrota en Estados Unidos y su fundador Sam Bankman-Fried renunciara al cargo de CEO, el intercambio de criptomonedas sufrió un ataque masivo de piratería.

Como si las cosas no pudiesen ir peor para la compañía, un actor malicioso desconocido logró vaciar varias billeteras de FTX por hasta USD $600 millones en criptomonedas. La hazaña, que ocurrió curiosamente a penas horas después de que el intercambio anunciara su quiebra en noviembre pasado, hizo levantar las cejas de muchos en la comunidad.

Mientras en ese momento varios sospecharon de Bankman-Fried como la mente detrás del atraco, una investigación reciente acaba de brindar nuevas revelaciones sobre la posible identidad de los atacantes.

Lazos con criminales rusos

En un informe de este jueves, los investigadores de la firma de análisis Blockchain, Elliptic, dijeron que “un actor vinculado a Rusia” parecía una fuerte posibilidad de ser el responsable del hackeo masivo a FTX.

La conclusión de la investigación descansa en gran medida en el análisis de las técnica de lavado y los servicios de privacidad utilizados por los piratas informáticos de FTX, quienes se han encargado de convertir los activos robados a Ethereum (ETH) a través de intercambios descentralizados (DEX) para trasladarlos luego a Bitcoin a través de mezcladores como ChipMixer.

Una parte importante de las criptomonedas robadas se fusionaron con fondos vinculados a sindicatos criminales rusos, incluidos aquellos asociados con ataques de ransomware y mercados de la red oscura, notó Elliptic, que escribió: 

De los activos robados que se pueden rastrear a través de ChipMixer, cantidades significativas se combinan con fondos de grupos criminales vinculados a Rusia, incluidas bandas de ransomware y mercados de la red oscura, antes de enviarlos a los intercambios. Esto apunta a la participación de un corredor u otro intermediario con un nexo en Rusia“.

En abril de 2023, ChipMixer fue incautado en una operación policial internacional, y la plataforma fue acusada de lavar 3.000 millones de dólares procedentes de operaciones ilícitas. Desde entonces, los explotadores de FTX han recurrido a otros servicios descentralizados para ofuscar el origen ilegal de los fondos, incluidos THORSwap y Sinbad, hallaron los investigadores.

Hackers norcoreanos son los menos probables

Elliptic también sopesó la posibilidad de que el atraco haya sido producto de un trabajo de los hackers de Corea del Sur, que han estado detrás de varios de los mayores incidentes de seguridad dentro del espacio de criptomonedas.

El uso del mezclador de criptomonedas Sinbad, que los investigadores creen que es una versión actualizada de Blender, una mezcladora que fue sancionada por el Departamento del Tesoro de EE. UU., “podría indicar la participación del Grupo Lazarus de Corea del Norte“, detalla el informe. Blender fue sancionado justamente por sus lazos con esa organización de hackers.

Sin embargo, las probabilidades son menores, debido a que “los métodos específicos utilizados para blanquear los activos robados son distintos y poco sofisticados en comparación con los que suele utilizar Lazarus“, agregaron.

Las laxas medidas de seguridad empleadas por FTX también pueden haber hecho relativamente sencillo para un actor externo robar los activos de la plataforma. El nuevo CEO de FTX reveló anteriormente que las claves privadas que permitían el acceso a los criptoactivos de la empresa se almacenaban sin cifrar, y un ex empleado dijo esta semana que se robaron más de USD $150 millones de Alameda Research debido a las malas prácticas de seguridad de la compañía.  

¿Trabajo interno de un empleado de FTX?

Mientras tanto, el equipo de análisis no se atrevió a descartar la posibilidad de que el robo haya sido orquestado desde adentro de la empresa, e incluso apuntaron a Bankman-Fried (SBF) como sospechoso, aunque reconocen que su acceso limitado a Internet obstaculizaría “cualquier esfuerzo de blanqueo” y podría no explicar el reciente movimiento de fondos (a menos que tenga un cómplice). 

Algunos en la comunidad que respaldan esta teoría han insinuado que el fundador, quien ha estado preso desde agosto, estaría vendiendo fondos para pagar los gastos legales de su caso en curso.

Una posibilidad es un trabajo interno. Algunos empleados de FTX habrían tenido acceso a los criptoactivos de la empresa para poder moverlos por motivos operativos. En el caos que rodeó la quiebra y el colapso de la empresa, es posible que un actor interno se hubiera apoderado de estos activos. 

El informe señala en esta línea otro lazo llamativo entre el robo a FTX y las empresas de SBF en quiebra. En específico, dice que los hackers de FTX han utilizado el puente de cadena cruzada RenBridge para cambiar fondos en ETH por BTC.

RenBridge, que ha sido utilizado por criminales para lavar más de USD $500 millones en activos ilícitos, era propiedad de una empresa propiedad a su vez de Alameda Research, el brazo comercial de FTX, “por lo que los fondos robados de FTX se estaban lavando a través de un servicio que efectivamente pertenecía a su empresa hermana“.

Hackers de FTX mueven USD $120 millones en medio del juicio de SBF

Los piratas informáticos anónimos del ahora desaparecido intercambio FTX han estado moviendo grandes cantidades de activos robados, y ​​las nuevas transacciones ocurren justo en medio del juicio penal Bankman-Fried

Después de haber pasado meses sin movimiento, las billeteras asociadas con la explotación de FTX comenzaron a activarse el 30 de septiembre. Los movimientos iniciaron con una transacción de poco más de USD $4 millones en ETH, seguida de otras dos operaciones por un total de 10,7 millones de dólares.

Según informes, los fondos han ido a parar a herramientas de privacidad como el puente entre cadenas Thorchain y la billetera de privacidad Railgun, que permite realizar operaciones de finanzas descentralizadas, o direcciones intermedias.

Desde entonces, más de 100 millones de dólares en criptomonedas se han movido. El ladrón ha convertido ETH por valor de 120 millones de dólares en Bitcoin a través del intercambio descentralizado multicadena (DEX) THORSwap desde el 30 de septiembre de 2023“, escribió Elliptic en la nota de investigación. El juicio de SBF comenzó oficialmente el 3 de octubre.

Entretanto, a casi un año de la hazaña de piratería contra FTX, la identidad del ladrón sigue siendo desconocida.


Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen editada de Unsplash 

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.