Has robado 600 millones de dólares. ¿Y ahora qué?

La comunidad Cripto se vio sacudida el martes por lo que se considera uno de los hackeos más grandes en Web 3 Historia: un exploit de 625 millones de dólares que drenó los fondos de Ronin, la cadena de bloques que alberga al popular Axie Infinity jugar para ganar juego.

Sin embargo, a pesar de la exorbitante suma, los expertos dijeron a CoinDesk en una serie de entrevistas que es poco probable que el atacante pueda disfrutar alguna vez de sus ganancias ilícitas.

El martes, el desarrollador de Axie, Sky Mavis, anunció en una publicación de blog que el exploit resultó en pérdidas de más de 173.000 ETH y 25,5 millones de USDC, por un valor de más de 625 millones de dólares al momento de la publicación.

Sigue leyendo: La red Ronin de Axie Infinity sufre un exploit de 625 millones de dólares

Sin embargo, inmediatamente después del ataque, los observadores notaron que el pirata informático utilizó intercambios centralizados para financiar la dirección que lanzó el ataque, y que han estado depositando miles de ETH en intercambios como Huobi, FTX y Cripto, un movimiento que muchos expertos en seguridad han caracterizado como un probable paso en falso.

Debido a que estas plataformas tienen sistemas de verificación de conozca a su cliente (KYC), estos depósitos podrían usarse para descubrir la identidad del pirata informático y, en última instancia, obligarlo a devolver los fondos.

"Si yo estuviera en su lugar, intentaría salir de esta situación lo antes posible", declaró a CoinDesk Tom Robinson, cofundador de la firma de análisis blockchain Elliptic. "Eso podría incluir la devolución de los fondos".

Conozca a su explotador

El método actual del atacante para intentar lavar fondos a través de intercambios centralizados resultó extraño para una serie de expertos de la industria.

"Es inusual ver flujos de fondos tan directos desde robos a grandes plataformas de intercambio", dijo Robinson. "Podrían haber comprado cuentas o estar usando un intermediario para blanquear fondos en su nombre".

En una exclusiva de octubre, CoinDesk descubrió que existe una floreciente mercado negro de cuentas con KYCen bolsas centralizadas. Sin embargo, Robinson señaló que las bolsas que se utilizan, incluidas FTX yCripto, tienen una sólida reputación en materia de cumplimiento normativo y KYC.

En total, calificó los esfuerzos actuales del atacante para lavar sus fondos como “sorprendentemente ingenuos”.

“Eso no coincide del todo con la sofisticación que aparentemente se requeriría para comprometer estos validadores y obtener sus claves privadas”, añadió.

Una estrategia más común de los explotadores es usar un mezclador como Tornado Cash, enviar fondos robados a través de intercambios sin KYC y, en general, "no apresurarse a retirar todo de inmediato, tal vez esperar incluso años", dijo Robinson.

De hecho, la comunidad Cripto más amplia ha expresado su desconcierto ante la estrategia de lavado de activos del atacante.

Como suele suceder después de un ataque, los usuarios de Ethereum han estado usando la red para comunicarse con el atacante y, en un caso, un individuo ha intentado darle al atacante Consejos para blanquear mejor su ETH.

“Hola, tu depósito inicial fue de Binance. Ten cuidado y asegúrate de usar tornado.cash. Debes dejar los fondos durante varios días o podrían ser rastreados”, escribieron a la dirección del atacante como parte de una transacción de Ethereum . “Después, deberías usar stealthex.io para cambiar a otras monedas durante un largo periodo. Gracias, no dudes en darme una propina o retirarme”.

Sin embargo, incluso con rigurosas herramientas de protección de la privacidad y un plan minucioso, Robinson declaró a CoinDesk que es extremadamente difícil blanquear una suma tan grande como 600 millones de dólares. De hecho, a pesar de que los presuntos blanqueadores han tomado diversas precauciones durante años, Funcionarios estadounidenses incautaron 3.600 millones de dólares en Bitcoinrelacionado con el hackeo de Bitfinex de 2016 el mes pasado.

Hurgando en la bolsa

Si Axie tiene información sobre el atacante, identificar a los piratas informáticos ha demostrado ser una táctica exitosa para los desarrolladores en el pasado.

Cuando CoinDesk se comunicó con la empresa de investigación de blockchain Chainalysis se negó a hacer comentarios, citando su participación en la investigación en curso.

Estás hablando de cifras del tamaño del PIB obtenidas mediante hackeos.

El pasado mes de septiembre, en ONE de los incidentes de piratería más coloridos en la historia de la cadena de bloques, los desarrolladores del token no fungible Jay Pegs Auto Mart (NFT) logró intimidar con éxito a un hacker para que devolviera los fondos, entre otras tácticas, ordenándole sopa de miso a su casa.

Sigue leyendo: Se robaron 3 millones de dólares, pero el verdadero robo son estos Kia Sedona, dicen desarrolladores anónimos

Joseph Delong, ex director de Tecnología de SUSHI , quien participó en las negociaciones de Jay Pegs, dijo que identificar a un pirata informático puede ayudar a "prevenir una fuga anónima" y aumentará la presión pública.

“La gente se enojará si revelas los datos del atacante, pero esos criptoanarquistas pueden irse a la mierda con su complejo de superioridad”, dijo Delong en una entrevista el martes.

“Lavar 600 millones de dólares no lo creo posible”, dijo Adrian Hetman, experto en DeFi de Immunefi, un servicio de recompensas por errores. “En el mejor de los casos, en lugar de usar el sombrero negro para acceder al protocolo, deberías usar ese conocimiento para reportar errores en una plataforma de recompensas por errores; podrías fácilmente hacerte millonario”.

Delong de Sushi también señaló que brindarle opciones al hacker puede ser una herramienta útil, como un "programa de recompensas claro y socios como Immunefi para ayudar".

De hecho, Immunefi se encuentra entre la multitud de servicios que han surgido a medida que las DeFi y la Web 3 buscan proteger el ecosistema de la creciente ola de hackeos. Solo Immunefi ha pagado 20 millones de dólares en recompensas por errores y actualmente tiene 120 millones de dólares disponibles para hackers de sombrero blanco, término que en la jerga de programación se refiere a la contraparte benévola de los hackers de sombrero negro que se fugan con fondos robados en lugar de reportar vulnerabilidades.

La historia demuestra que intentar robar y blanquear 625 millones de dólares podría haber sido la opción menos rentable para el atacante. En agosto pasado, el hacker que logró robar 611 millones de dólares de POLY Network... Finalmente devolvió los fondosdespués de decidir que sería imposible cobrar.

"Creo que o lo atrapan, o lo obligan a devolver los fondos. O ambas cosas", dijo Hetman sobre el hacker de Ronin.

Motivaciones ideológicas

Sin embargo, en el peor de los casos para Axie Infinity, es posible que al explotador ni siquiera le importe el dinero.

“Creo que, fundamentalmente, la ideología del explotador es clave cuando se trata de cifras del PIB obtenidas mediante hackeos”, afirmó Laurence E. Day, desarrollador y experto en blockchain. “Si lo hicieron simplemente para enviar un mensaje de vulnerabilidad o ‘porque podían, sin consecuencias’, la pregunta de si valió la pena depende de si consideran que eso es suficiente validación de su habilidad”.

Day está muy familiarizado con los hackers que buscan enviar mensajes. El pasado octubre, un protocolo al que Day contribuyó, Indexed Finanzas, fue explotado por un joven canadiense prodigio de las matemáticas, Andean "Andy" Medjedovic.

Sigue leyendo: Tras robar 16 millones de dólares, este hacker adolescente parece decidido a poner a prueba el principio de que el código es ley en los tribunales.

A pesar de que el equipo reveló la identidad de Medjedovic y llevó el caso a los tribunales, el estudiante de posgrado canadiense se ha negado hasta ahora a devolver los fondos. En una serie de...tuitsSegún un relato que supuestamente pertenece a Medjedovic, describió el enfrentamiento como un “duelo” y una “lucha a muerte”.

Mientras Medjedovic estáActualmente prófugo de la leyEl incidente le ha valido una notoriedad significativa, lo que puede haber sido su motivación principal.

Sin embargo, Day señaló que si el hacker de Ronin está interesado en la fama más que en el dinero, incluso ese objetivo final parece ser actualmente un juego perdido: es posible que nunca puedan asumir la responsabilidad sin ser atrapados.

“Hemos visto una y otra vez que el ego es la ruina de quienes cometen abusos, y me imagino que sería bastante difícil no poder reconocerlo de la misma manera que negociar una recompensa de sombrero blanco y convertirse en un dios a los ojos de la comunidad te lo permitiría”, dijo Day.

Más sobre: de CoinDesk sobre Axie Infinity y Ronin Network

Binance suspende depósitos y retiros en la red Ronin tras un hackeo

Ronin, empresa centrada en juegos, reveló el martes una pérdida de más de 625 millones de dólares en USDC y ether.

Axie Infinity reduce las emisiones de SLP para evitar un colapso

Las preocupaciones en torno a las emisiones de un token dentro del juego provocaron una caída en el número de usuarios y una caída drástica en los precios de SLP .

Sky Mavis, fundador de Axie Infinity, lanza el token de gobernanza RON

El token se cotizaba alrededor de $3,75 después del lanzamiento.