Los hackeos de Criptomonedas suelen ser noticia. Al igual que los arrestos de presuntos autores. convulsión reciente de alrededor de 3.600 millones de dólares en Bitcoin junto con el arresto muy publicitado El caso de dos personas vinculadas a un ataque de 2016 a la plataforma de intercambio de Cripto Bitfinex por parte de funcionarios federales es solo un ejemplo.

El análisis de Cripto fue clave para ayudar a los funcionarios federales a identificar a los presuntos blanqueadores de Bitfinex. En otro caso, el análisis de blockchain podría haber ayudado a esclarecer los nombres de dos sospechosos de un ataque informático a una plataforma de intercambio.

En noviembre de 2020, dos desarrolladores de software venezolanos, José Manuel Osorio Mendoza y Kelvin Jonathan Díaz, fueron detenidos por las autoridades locales bajo sospecha de robar alrededor de un millón de dólares en Bitcoin de una plataforma de intercambio de Criptomonedas local llamada Bancar.

Mendoza y Díaz mantuvieron su inocencia, pero dudaban de poder demostrarlo ante el tribunal.

“Hay mucho desconocimiento tecnológico en mi país, a pesar de ser una economía abierta a las Cripto … Aunque trabajábamos en una empresa Tecnología , teníamos esa duda de cómo podíamos explicar algo tan novedoso y tan difícil de entender”, dijo Mendoza a un juez local.

En el momento de su detención, Mendoza y Díaz trabajaban enPOSICIÓN, una empresa venezolana de desarrollo de software que anteriormente había prestado servicios a Bancar. Deseoso de limpiar el nombre de su empresa y el de sus colegas, Danny Penagos, director de operaciones de POSINT, contrató a la empresa de análisis de blockchain CipherBlade para investigar de forma independiente el ataque a Bancar.

El informe resultante de CipherBlade, revisado por CoinDesk, cuenta una historia compleja de vulnerabilidades de seguridad y chivos expiatorios mientras se rastrean los fondos robados de Bancar a través de recientemente en la lista negra Suex.io Hasta Rusia. El informe muestra que los Bitcoin robados finalmente terminaron en Binance, la principal plataforma de intercambio de activos digitales.

El tribunal venezolano accedió a examinar el informe de CipherBlade. Con base en las conclusiones de la investigación, en enero de 2021, más de un mes después de la detención de los desarrolladores, el tribunal concedió a Mendoza y Díaz la libertad condicional. En agosto de 2021, el tribunal desestimó oficialmente todos los cargos en su contra, según un documento oficial obtenido por CoinDesk.

Mientras que los volúmenes de transacciones Cripto ilícitas cayó Aunque se ha reducido en más de la mitad entre 2019 y 2020, sigue siendo un mercado multimillonario. Y la demanda de servicios de inteligencia de blockchain para rastrear transacciones ilícitas está en auge. La firma de inteligencia de blockchain, Chainalysis, tiene una cartera multimillonaria. contratoscon el gobierno de Estados Unidos y, en septiembre pasado, el gigante mundial de pagos Mastercardacordó comprarCipherTrace, una empresa que escanea cadenas de bloques en busca de actividad ilícita.

Sigue leyendo: Funcionarios estadounidenses incautan 3.600 millones de dólares en Bitcoin tras el hackeo de Bitfinex de 2016

Miguel Alonso Torres, investigador senior de CipherBlade (que no debe confundirse con la adquisición de Mastercard), dijo que su firma trabaja en una variedad de casos, desde hackeos y robos hasta casos de divorcio ocasionales en los que se sospecha que un cónyuge no revela sus tenencias totales de Cripto .

Pero absolver a dos sospechosos fue una novedad para Torres.

“Tener a alguien en prisión y que le pidan investigar un ataque informático solo para poder demostrar ante el tribunal su inocencia es algo absolutamente único. Nunca había tenido un caso como ONE”, dijo Torres.

El hackeo del exchange

Todo comenzó cuando Bancar contrató a POSINT en 2018 para ayudar a construir su intercambio de Criptomonedas .

En 2018, el presidente de Venezuela, Nicolás Maduro, lanzó lapetro, la controvertida moneda digital emitida por el gobierno del país, respaldada por una parte de las reservas petroleras de Venezuela. Sus tácticas agresivas para forzar la adopción del petro abarcaron desde...ordenandoVarias empresas estatales convertirán una parte de sus ventas a petro, según se informa.requiriendoLos ciudadanos pagarán los nuevos pasaportes con petro.

En octubre de 2018, los medios de comunicación locales comenzaron ainforme Maduro había aprobado seis plataformas locales de intercambio de Criptomonedas para la venta de petro. Según informes, Bancar fue una de las seis plataformas aprobadas por Maduro. Penagos afirmó que, tras la aprobación de Bancar, se contrató a POSINT para desarrollar la plataforma de negociación de la empresa. Añadió que, tras completar el trabajo, POSINT entregó el código fuente a Bancar.

Bancar no respondió a múltiples solicitudes de comentarios.

Un año después, 103,99 BTC , con un valor aproximado de un millón de dólares, desaparecieron de la plataforma de intercambio Bancar en un ciberataque, según el informe de CipherBlade. Los Bitcoin fueron robados en cinco transacciones distintas que tuvieron lugar en dos días diferentes: tres transacciones el 4 de septiembre de 2019 y el resto el 7 de septiembre de 2019.

Según Penagos, Bancar sospechó inmediatamente del robo a POSINT, la empresa que desarrolló el software que utilizaba. Mientras tanto, Penagos realizó un rastreo simple y descubrió que los Bitcoin robados habían acabado en Binance.

"Creo que un atacante o hacker profesional no depositaría esa cantidad de dinero en un gran exchange como Binance", dijo Penagos.

Penagos dice que notificó a Bancar por correo electrónico y le pidió que considerara contratar a CipherBlade para investigar el hackeo o contactar a Binance para intentar recuperar los fondos.

Sigue leyendo: Las herramientas de análisis de Cripto son "la ola del futuro", dice un juez citando una película de culto en el caso de la incautación de 3.600 millones de dólares en Bitcoin.

Un año después, en diciembre de 2020, medios locales informaron que las autoridades venezolanas habían detenido a Mendoza y Díaz como sospechosos del ataque. En ese momento, Mendoza era el director de Tecnología de POSINT y Díaz era desarrollador sénior de la empresa, según Penagos.

“Estábamos confundidos”, dijo Díaz, recordando los primeros días que estuvo detenido.

medios de comunicación locales y sitios internacionales de noticias Cripto publicaron historias sobre su detención.

“Después de burlar la seguridad de la plataforma, [Mendoza y Díaz] supuestamente procedieron a realizar transferencias de Bitcoin y fiat a varias cuentas asociadas con ellos”, plataforma de noticias de Cripto Descifrar escribió.

Mientras tanto, Mendoza y Díaz no estaban seguros de cómo demostrar su inocencia.

“Mientras estábamos detenidos, las dudas seguían aumentando”, dijo Mendoza.

Todo lo que POSINT tenía que hacer era demostrar que los dos no podían haber robado los fondos, pero eso no era fácil.

“Las Criptomonedas son excepcionalmente transparentes, ya que todas las transacciones se registran en un libro de contabilidad público, inmutable y permanente de la blockchain”, declaró Gurvais Grigg, director de Tecnología global para el sector público de Chainalysis, en un correo electrónico. “El desafío radica en que la blockchain no es legible para humanos. Es difícil saber qué servicios están detrás de las transacciones en la blockchain, ya que son seudónimos”.

Tras la detención de sus colegas, Penagos afirmó haber intentado contactar con Binance personalmente, pero no recibió respuesta. Al no lograrlo, finalmente recurrió a CipherBlade.

“Cuando empezó la investigación, finalmente empezamos a sentirnos tranquilos”, dijo Mendoza.

Seguimiento del FLOW de fondos

Un mes después de iniciar su investigación, CipherBlade pudo trazar con considerable detalle la trayectoria de los fondos robados de Bancar.

"Cuando se observa el FLOW de fondos, se sabe que hubo algunas técnicas de ofuscación que no se ejecutaron particularmente bien", dijo Paul Sibenik, administrador de casos principal en CipherBlade.

Una vez que los 103,99 BTC fueron extraídos del intercambio en cinco transacciones separadas, el perpetrador depositó el Bitcoin robado en dos direcciones, o ubicaciones virtuales indicadas por una cadena de números y letras donde se pueden enviar Bitcoin .

Luego, el Bitcoin robado finalmente convergió a una dirección en Binance: 1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K.

Pero algo no cuadraba.

“Al principio vimos que todos los fondos iban a Binance”, dijo Sibenik. “Pero nos dimos cuenta de que la dirección a la que se dirigían los fondos no era una cuenta personal en Binance que pertenecía al hacker. Era algún tipo de servicio”.

Según el informe de CipherBlade, Binance informó a los investigadores que la dirección estaba asociada conSuex.io, una empresa con sede en Moscú que ofrecía servicios de negociación extrabursátil (OTC).

Eso significó que los Bitcoin robados de Bancar primero terminaron en dos direcciones pertenecientes al perpetrador, y el perpetrador luego los utilizó. Suex.io para convertir el Bitcoin en otro activo. En otras palabras, el perpetrador utilizó Suex.ioServicio OTC para blanquear los Bitcoin robados. Suex.io luego envió el Bitcoin robado a su cuenta en Binance.

CipherBlade intentó Request información de Suex.io Pero Sibenik y Torres dijeron que la empresa rusa no cooperó.

“Lo primero es que cualquier persona que fuera un cliente potencial deSuex.io "En ese momento sabían que no tenían ningún requisito", dijo Torres. "No les importaba con quién trataban ni de dónde provenían los fondos. Respeto mucho el seudónimo y la Privacidad , pero también hay valores éticos. Este caso fue crucial. Había dos personas en prisión".

Según el informe, Binance ayudó a CipherBlade a llenar los espacios en blanco al realizar una Request de fuente de fondos a Suex.ioUn exchange de Cripto puede realizar dicha Request a sus clientes pidiéndoles que expliquen el origen del dinero o los activos depositados en la plataforma.

La información finalmente compartida porSuex.ioPermitió a CipherBlade obtener toda la información, desde la dirección IP del atacante hasta su cuenta de Telegram, su proveedor de servicios de internet y su navegador web. Toda la información apuntaba a un ciudadano ruso.

“Nos quedó claro que, en realidad, Mendoza y Díaz simplemente estaban siendo utilizados como chivos expiatorios”, dijo Sibenik.

Mientras tanto, en septiembre de 2021,Suex.iose convirtió en elprimer intercambio de Criptomonedas ser sancionadopor la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos (OFAC), lo que lo coloca en la misma categoría que los terroristas y los narcotraficantes. Curiosamente,Suex.io La dirección en la plataforma Binance fue una de las direcciones de moneda digital marcadas en la lista de sanciones de la OFAC. Suex.io No respondió a múltiples solicitudes de comentarios.

Sigue leyendo: Esto es lo que sabemos sobre Suex, la primera empresa de Cripto sancionada por EE. UU.

Binance confirmó a CoinDesk que participó en la investigación de CipherBlade y que había desplataformado La cuenta en cuestión se basó en medidas de seguridad internas. Sin embargo, no se especificó cuándo se eliminó la cuenta de la plataforma.

“De manera similar a los bancos y otras instituciones financieras tradicionales, cuando cualquier flujo ilícito llega a través de los exchanges, el exchange en sí no está albergando a los grupos criminales reales, sino que está siendo explotado como intermediario”, dijo un portavoz de Binance en un comunicado enviado por correo electrónico.

Vulnerabilidades de intercambio

El informe de CipherBlade también analizó Bancar y encontró una serie de vulnerabilidades que podrían haber expuesto la plataforma a ataques.

Por ONE, la investigación de CipherBlade descubrió que existen más de 7000 páginas web de spam en " <a href="http://bancarexchange.io​">http://bancarexchange.io</a> " que no fueron creadas por Bancar. El informe de CipherBlade indicó (y CoinDesk lo confirmó) que una simple búsqueda del sitio web muestra páginas que anuncian todo tipo de servicios, desde novias rusas hasta alquiler de coches y escritores fantasma.

Durante su investigación, CipherBlade también descubrió que el certificado SSL de la plataforma, que autentica la identidad del sitio web, se había instalado correctamente, pero fue revocado en diciembre de 2020, un año después del ataque. Un certificado puede revocarse por diversas razones, incluyendo indicios de que sus claves privadas se han visto comprometidas.

Sigue leyendo: Bitcoin congelado vinculado a las protestas canadienses llega a Coinbase y Cripto

Al final del informe, la firma de inteligencia también describe las posibles medidas que podrían tomar las autoridades venezolanas para Síguenos al culpable y cerrar el caso. No está claro si las autoridades venezolanas están buscando al individuo en cuestión. Pero CipherBlade tiene esperanzas.

«Al principio no era muy optimista de que las autoridades tomaran en cuenta nuestras opiniones. Pero obviamente lo hicieron», dijo Sibenik.