{"id":28040,"date":"2022-11-04T00:11:59","date_gmt":"2022-11-03T22:11:59","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28040"},"modified":"2022-11-04T00:11:59","modified_gmt":"2022-11-03T22:11:59","slug":"top-5-cryptocurrency-heists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/top-5-cryptocurrency-heists\/28040\/","title":{"rendered":"Top 5 de los mayores robos de criptomonedas de la historia"},"content":{"rendered":"

Las criptomonedas son el objetivo perfecto para los ciberdelincuentes: hay muchas formas de robarlas y es muy dif\u00edcil que las v\u00edctimas las recuperen. Algunos ciberdelincuentes se forran con ello, obteniendo decenas o, a veces, cientos de millones de d\u00f3lares en ataques a plataformas de intercambio de criptomonedas (cripto exchanges). En este post analizamos los 5 robos m\u00e1s grandes de la relativamente corta historia de las criptomonedas. Y tambi\u00e9n incluimos un bonus final: una incre\u00edble historia sobre un robo de criptomonedas que es digna de una serie de Netflix\u2026<\/p>\n

5. Llave maestra<\/h2>\n

V\u00edctima: Plataforma de intercambio de criptomonedas KuCoin
\nFecha: 26 de septiembre de 2020
\nP\u00e9rdida: alrededor de 285 millones de d\u00f3lares<\/p>\n

La noche del 25 al 26 de septiembre de 2020, los guardias de seguridad de la empresa KuCoin, con sede en Singapur, detectaron<\/a> varias transacciones anormales de distintos monederos calientes (o hot wallets). Para detener las transacciones sospechosas, transfirieron todos los activos restantes de los monederos calientes comprometidos a un un almacenamiento en fr\u00edo<\/a> (monederos fr\u00edos o cold wallets, en ingl\u00e9s). Todo el incidente dur\u00f3 aproximadamente dos horas desde que fue detectado hasta su finalizaci\u00f3n. Durante este tiempo, los atacantes lograron retirar aproximadamente 285 millones<\/a> de d\u00f3lares en varias criptomonedas.<\/p>\n

La investigaci\u00f3n revel\u00f3 que los cibercriminales hab\u00edan accedido a las claves privadas de los monederos calientes. Uno de los principales sospechosos de este ataque es el grupo Lazarus, una pandilla cibern\u00e9tica de APT<\/a> de Corea del Norte, ya que los atacantes utilizaron un algoritmo de m\u00faltiples etapas para blanquear el bot\u00edn similar a los mecanismos utilizados en ataques anteriores por parte del grupo Lazarus. En primer lugar, traspasaron cantidades similares de criptomonedas a trav\u00e9s de un mezclador de criptomonedas (una herramienta que se utiliza para mezclar fondos de criptomonedas con otros para ocultar el rastro), y, despu\u00e9s, transfirieron las criptomonedas a trav\u00e9s de plataformas descentralizadas.<\/a><\/p>\n

A pesar de su magnitud, este ataque no supuso el final del intercambio de criptomonedas. Al d\u00eda siguiente, el CEO de KuCoin, Johnny Lyu, durante una transmisi\u00f3n en vivo, prometi\u00f3 reembolsar los fondos robados. Lyu cumpli\u00f3 su palabra y, en noviembre de 2020, tuite\u00f3 que el 84 % de los activos afectados hab\u00edan sido devueltos a sus propietarios<\/a>. El 16 % restante estaba cubierto<\/a> por el fondo del seguro de KuCoin.<\/p>\n

4. Dinero de la nada<\/h2>\n

V\u00edctima: Puente cross-chain de Wormhole
\nFecha: 2 de febrero de 2022
\nP\u00e9rdida: 334 millones de d\u00f3lares<\/p>\n

El siguiente puesto de nuestro top 5 lo ocupa un atraco que us\u00f3 una vulnerabilidad en Wormhole, el protocolo de puente cross-chain<\/em><\/a>. Aqu\u00ed los ciberdelincuentes se vieron favorecidos por el hecho de que los desarrolladores de la plataforma hicieron p\u00fablico el c\u00f3digo de su programa. Pero lo primero es lo primero\u2026<\/p>\n

Wormhole es una herramienta que funciona como mediadora en las transacciones de criptomonedas. En concreto, permite a los usuarios mover tokens entre las redes Ethereum y Solana. T\u00e9cnicamente, el intercambio funciona as\u00ed: los tokens se congelan en una cadena, mientras que en la otra se emiten los llamados \u201ctokens envueltos\u201d del mismo valor.<\/p>\n

Wormhole es un proyecto de c\u00f3digo abierto que tiene su propio repositorio en GitHub. Poco antes del robo, los desarrolladores introdujeron en \u00e9l un c\u00f3digo para corregir una vulnerabilidad en el protocolo. Pero los atacantes lograron explotar la vulnerabilidad<\/a> antes de que los cambios tuvieran efecto.<\/p>\n

Este error les permiti\u00f3 eludir\u00a0la verificaci\u00f3n de la transacci\u00f3n<\/a> en Solana y emitir 120 000 \u201cETH envueltos\u201d (con un valor de alrededor de 334 millones de d\u00f3lares en el momento del ataque) sin congelar la cantidad equivalente en la cadena de bloques Ethereum. Los ciberdelincuentes transfirieron dos tercios de la cantidad total de un monedero de Ethereum y usaron el resto para comprar otros tokens.<\/p>\n

Wormhole apel\u00f3 p\u00fablicamente a los atacantes para que devolvieran los fondos robados y facilitaran los detalles de la explotaci\u00f3n por una recompensa de 10 millones<\/a> de d\u00f3lares. Sin embargo, los ciberdelincuentes ignoraron esta generosa oferta.<\/p>\n

El d\u00eda despu\u00e9s del robo, Wormhole tuite\u00f3<\/a> que todos los fondos hab\u00edan sido restaurados y que el puente funcionaba como lo hac\u00eda previamente. El agujero financiero se cerr\u00f3<\/a> gracias a Jump Trading, la compa\u00f1\u00eda que hab\u00eda comprado el desarrollador de Wormhole seis meses antes del incidente. A juzgar por la informaci\u00f3n procedente de fuentes p\u00fablicas, todav\u00eda se desconocen los culpables.<\/p>\n

3. Un robo de tres a\u00f1os<\/h2>\n

V\u00edctima: Criptoexchange de Mt.Gox
\nFecha: febrero de 2014
\nP\u00e9rdida: 480 millones de d\u00f3lares<\/p>\n

La historia de Mt.Gox comienza<\/a> en 2007, cuando esta era una plataforma de intercambio de cartas del juego Magic: El encuentro.<\/a> \u00a0Tres a\u00f1os despu\u00e9s, en mitad de la creciente popularidad de las criptomonedas, Jed McCaleb, programador estadounidense y propietario de la web, decidi\u00f3 convertirla en un intercambio de criptomonedas, pero luego vendi\u00f3 el servicio al desarrollador franc\u00e9s Mark Karpel\u00e8s en 2011. Tan solo dos a\u00f1os despu\u00e9s, Mt.Gox comercializaba<\/a> alrededor del 70 % del bitcoin mundial.<\/p>\n

A este r\u00e1pido ascenso le sigui\u00f3 un devastador golpe. El 7 de febrero de 2014, el exchange bloque\u00f3 de forma repentina todas las retiradas de bitcoin. La compa\u00f1\u00eda ech\u00f3<\/a> la culpa a los problemas t\u00e9cnicos. Los clientes indignados se reunieron frente a la sede de Mt.Gox en Tokio, exigiendo la devoluci\u00f3n de su dinero, pero hicieron o\u00eddos sordos a sus protestas.<\/p>\n

Lo m\u00e1s destacado de esta historia es que el atraco de Mt.Gox comenz\u00f3 en 2011. En ese momento, unos desconocidos ciberdelincuentes se hicieron<\/a> con las contrase\u00f1as privadas de un monedero caliente en el exchange y comenzaron a desviar bitcoins de forma gradual. Para 2013, los ciberdelincuentes hab\u00edan depositado en sus cuentas 630.000 BTC.<\/p>\n

Finalmente, Mt.Gox dej\u00f3 la comercializaci\u00f3n el 28 de febrero de 2014, cuando Karpel\u00e8s se declar\u00f3<\/a> en bancarrota y se disculp\u00f3 por las \u201ccarencias del sistema\u201d que hab\u00edan provocado la p\u00e9rdida de aproximadamente 750.000 BTC de los fondos de los clientes adem\u00e1s de 100.000 BTC propios. En general se calcula que la cantidad de fondos robados es de alrededor de 480 millones de d\u00f3lares; este es el valor de la cantidad total de tokens robados seg\u00fan la tasa de cambio de un d\u00eda previo al d\u00eda en el que el intercambio se declar\u00f3 en bancarrota, el 27 de febrero.<\/p>\n

Sin embargo, hay que tener en cuenta que en el momento despu\u00e9s de que Mt.Gox cesara su actividad y antes de que se declarara en bancarrota, el precio del bitcoin cay\u00f3 de manera considerable. Si se calculara con la tasa de cambio del 6 de febrero (el d\u00eda anterior al cierre de la bolsa), la p\u00e9rdida ser\u00eda de alrededor de 660 millones de d\u00f3lares. No obstante, ambas cifras son aproximadas: no tienen en cuenta los tres a\u00f1os de duraci\u00f3n del atraco durante los que la tasa de cambio fluctu\u00f3 considerablemente. Por tanto, es dif\u00edcil determinar la cantidad exacta del da\u00f1o producido.<\/p>\n

\"Tasa

Tasa de intercambio de Bitcoin en febrero de 2014 durante la ca\u00edda de Mt.Gox. Fuente.<\/a><\/p><\/div>\n

\u00bfC\u00f3mo fue posible el ataque? Seg\u00fan algunos exempleados<\/a>, la direcci\u00f3n de la empresa fue bastante negligente en muchos asuntos importantes, por ejemplo, Mt.Gox ten\u00eda serios problemas con los informes financieros. Adem\u00e1s, nunca se llev\u00f3 a cabo una adecuada auditor\u00eda de calidad y seguridad del c\u00f3digo: por ejemplo, no hab\u00eda un sistema de control de versiones.<\/p>\n

Los fiscales acusaron<\/a> a Karpel\u00e8s, propietario de Mt.Gox, de malversaci\u00f3n de fondos de clientes por valor de 3 millones de d\u00f3lares aproximadamente. Pero esto no se pudo probar ante los tribunales y, finalmente, Karpel\u00e8s solo recibi\u00f3 una sentencia de suspensi\u00f3n de dos a\u00f1os y seis meses por manipulaci\u00f3n de datos y fue absuelto de otros cargos.<\/p>\n

2. Casi quinientos millones<\/h2>\n

V\u00edctima: Plataforma de intercambio de criptomonedas Coincheck
\nFecha: 26 de enero de 2018
\nP\u00e9rdida: 496 millones de d\u00f3lares<\/p>\n

Coincheck es uno de los exchange de criptomonedas m\u00e1s grandes de Jap\u00f3n. En 2018, los ciberdelincuentes lograron robar<\/a> m\u00e1s de 500 millones de tokens NEM por aproximadamente la misma cantidad de d\u00f3lares.<\/p>\n

La empresa afirm\u00f3 que su sistema de seguridad era fuerte y no inform\u00f3 sobre c\u00f3mo llevaron a cabo exactamente el ataque los intrusos. Dicho esto, algunos expertos creen que los ciberdelincuentes pudieron haber obtenido acceso a las contrase\u00f1as privadas de los monederos calientes de Coincheck con la ayuda de malware insertado en un ordenador de la empresa.<\/p>\n

Los atacantes crearon tambi\u00e9n una web propia donde\u00a0vend\u00edan<\/a> tokens NEM para bitcoin y otras criptomonedas con un descuento del 15 %. Como resultado de ello, la tasa de intercambio NEM cay\u00f3 bruscamente y Coincheck perdi\u00f3 alrededor de 500 millones de d\u00f3lares, sin embargo, esto no forz\u00f3 el cierre del intercambio. Adem\u00e1s, no se pudo rastrear a los delincuentes. El intercambio tuvo que suspender sus operaciones durante un tiempo y prometi\u00f3 compensar<\/a> a los clientes con sus propios fondos.<\/p>\n

\"Tasa

Tasa de intercambio NEM despu\u00e9s del incidente de Coincheck. Fuente.<\/a><\/p><\/div>\n

1. Oferta de trabajo con sorpresa incluida<\/h2>\n

V\u00edctima: Plataforma de blockchain Ronin Network
\nFecha: 23 de marzo de 2022
\nP\u00e9rdida: 540 millones de d\u00f3lares<\/p>\n

Ronin Network fue creada por Sky Mavis para el juego Axie Infinity<\/a>, que permite a los jugadores comprar la moneda del juego Smooth Love Potion<\/em> (SLP).<\/a> A finales de marzo de 2022, unos desconocidos atacantes le robaron<\/a> a Ronin la cantidad r\u00e9cord de 540 millones de d\u00f3lares en criptomonedas ayudados por el spyware y la magia de la ingenier\u00eda social.<\/p>\n

El ataque dirigido<\/a> ten\u00eda como objetivo a los empleados de Sky Mavis y uno de ellos mordi\u00f3 el anzuelo (probablemente en LinkedIn). Despu\u00e9s de pasar por un \u201cproceso de selecci\u00f3n\u201d, uno de los ingenieros superiores recibi\u00f3 una \u201coferta de trabajo\u201d mediante un archivo PDF que conten\u00eda spyware. Esto permiti\u00f3 que los ladrones se hicieran con cuatro de las claves privadas de validaci\u00f3n<\/a>\u00a0de la red.<\/p>\n

Para obtener acceso a los activos de la empresa, necesitaban comprometer al menos cinco de los nueve validadores. Como mencionamos, el spyware les ayud\u00f3 a conseguir cuatro claves. La quinta la consiguieron gracias a un descuido de la propia empresa, que hab\u00eda autorizado a Axie DAO<\/a> (organizaci\u00f3n aut\u00f3noma descentralizada, por sus siglas en ingl\u00e9s) a firmar transacciones para ayudar a Ronin Network a mitigar el volumen de usuarios, y luego no revoc\u00f3 los permisos.<\/p>\n

Sin embargo, Sky Mavis se recuper\u00f3 r\u00e1pidamente del incidente. En junio de 2022, relanz\u00f3<\/a> la plataforma de blockchain y empez\u00f3 a compensar a los jugadores afectados.<\/p>\n

\"Personaje

Personaje NFT del juego basado en blockchain Axie Infinity. Fuente.\u00a0<\/a><\/p><\/div>\n

Bonus: Un hackeo con reembolso<\/h2>\n

Objetivo: Protocolo cross-chain de Poly Network
\nFecha: 10 de agosto de 2021
\nP\u00e9rdida (posteriormente recuperada): 610 millones de d\u00f3lares<\/p>\n

Como un extra, vamos a terminar con otro gran robo de criptomonedas, que termin\u00f3 con la devoluci\u00f3n de cada centavo del bot\u00edn. Esto es lo que pas\u00f3\u2026<\/p>\n

Poly Network<\/a> es otro protocolo m\u00e1s para implementar la interoperabilidad de blockchain. En el verano de 2021, fue testigo de uno de los robos m\u00e1s grandes de la historia de las criptomonedas. Un desconocido hacker rob\u00f3 m\u00e1s de 600 millones de d\u00f3lares en varias criptomonedas<\/a> aprovechando una vulnerabilidad en Poly Network.<\/p>\n

Poly Network apel\u00f3<\/a> al responsable en Twitter para que devolviera los tokens robados. Para asombro de todos, el hacker se puso en contacto<\/a> y accedi\u00f3 a hacerlo y se procedi\u00f3 a transferir las fichas robadas poco a poco, dividi\u00e9ndolas en varias partes desiguales.<\/p>\n

El intercambio online entre el hacker y Poly Network se prolong\u00f3 durante bastante tiempo durante el cual el atacante afirm\u00f3 que no estaba interesado en el dinero y que solo hab\u00eda llevado a cabo el robo por \u201crazones ideol\u00f3gicas\u201d. Como muestra de gratitud, Poly Network retir\u00f3 su demanda, garantiz\u00f3 su anonimato, le ofreci\u00f3<\/a> una recompensa de 500.000 d\u00f3lares e incluso le invit\u00f3 a convertirse en su principal consultor de seguridad. Tambi\u00e9n lanz\u00f3 un programa de recompensas por errores<\/a> valorado en 500.000 d\u00f3lares.<\/p>\n

No es una moraleja como tal, pero\u2026<\/h2>\n

Hemos hecho una lista con el top 5 de los principales robos de criptomonedas y todos ellos estaban dirigidos a organizaciones importantes. Pero hay que tener en cuenta que muchos incidentes menores tambi\u00e9n afectan continuamente a los usuarios comunes. Por tanto, todos los inversores deben tomar medidas para proteger sus activos. Dejamos aqu\u00ed algunos consejos \u00fatiles:<\/p>\n