La ballena pierde 27,3 millones en exploit multisig: cómo los criminales comprometieron la clave privada

Un grave incidente de seguridad ha afectado la cartera de una importante ballena del sector cripto, con pérdidas que podrían superar los 40 millones de dólares. Según el análisis de la plataforma de seguridad blockchain PeckShield, el drenaje fue causado por la compromisión de una clave privada asociada a una wallet multisig, permitiendo a los criminales sustraer activos significativos en poco tiempo.

La Arquitectura Vulnerable de la Wallet Multisig

La vulnerabilidad no fue simplemente una cuestión de robo pasivo. Los investigadores de Hacken Extractor han descubierto que la llamada wallet “comprometida” podría nunca haber sido controlada realmente por la víctima legítima. Según las reconstrucciones, un actor malicioso habría creado la wallet multisig el 4 de noviembre a las 7:46 UTC, transfiriendo inmediatamente los fondos hacia sí mismo solo seis minutos después. Este esquema sugiere que el propietario original nunca tuvo el control total de las claves criptográficas, haciendo que la wallet fuera vulnerable desde el principio.

La wallet, financiada aproximadamente 44 días antes del exploit, representa un caso emblemático de cómo incluso los grandes inversores pueden caer víctimas de ataques sofisticados basados en ingeniería social o compromisos iniciales de las claves privadas.

El Drenaje y el Lavado Rápido

En el momento del vaciado, el drenador extrajo 27,3 millones de dólares de la cartera, dejando solo unos 2 millones de dólares en activos líquidos. El atacante inició operaciones de lavado mediante Tornado Cash, convirtiendo 4.100 ETH (equivalentes a 12,6 millones de dólares a los precios de mercado actuales, con ETH intercambiado a $3.09K) en fondos no rastreables.

Al mismo tiempo, el malintencionado mantuvo el control de la wallet multisig original, que contenía una posición larga apalancada en Aave. Esta persistencia en el control de los fondos sugiere que el atacante podría intentar más drenajes o manipulaciones de trading.

Metodologías de Lavado y Protección de los Activos

Los mezcladores criptográficos como Tornado Cash se han convertido en herramientas esenciales para los criminales en ocultar el origen de los fondos robados y complicar las operaciones de recuperación. Utilizando un calculador de liquidez para rastrear los importes, es posible observar cómo estos mezcladores procesan enormes volúmenes de transacciones sospechosas diariamente.

Un precedente significativo es el robo de un exchange de criptomonedas, donde el Lazarus Group sustrajo fondos por un valor de aproximadamente 250 millones de dólares en Ethereum. El grupo comenzó el lavado solo días después del robo, moviendo más de 605 millones de dólares en ETH en tres días tras el ataque. Para la primera semana de marzo, había lavado completamente los 499.000 ETH robados, aprovechando una combinación de mezcladores criptográficos y DEX descentralizados.

Implicaciones para la Seguridad de las Wallets Multisig

Este incidente subraya un riesgo a menudo subestimado: incluso cuando una ballena cree utilizar una arquitectura de seguridad avanzada como el multisig, la compromisión de una sola clave privada puede ser catastrófica si la wallet no ha sido verificada independientemente desde el principio. La línea de tiempo del ataque revela que las primeras señales de anomalía datan incluso del 4 de noviembre, mucho antes del descubrimiento público.

La lección principal es que ninguna estructura de seguridad es inmune si los fundamentos criptográficos han sido comprometidos desde el inicio. Las ballenas y los inversores institucionales deben implementar controles adicionales, verificaciones multi-capa y auditorías independientes de sus claves privadas antes de transferir fondos significativos a nuevas wallets, incluso cuando estas utilicen protocolos multisig avanzados.