Exclusivo: Hackers están vendiendo tokens con descuento vinculados a los hackeos de CoinEx y Stake

Los investigadores de análisis de blockchain han descubierto a una persona vinculada a una operación de lavado de dinero de criptomonedas que ofrece tokens robados a precios reducidos de recientes hackeos de exchanges de alto perfil.

Hablando exclusivamente con Cointelegraph, un representante de la firma de seguridad en blockchain Match Systems describió cómo las investigaciones sobre varias brechas importantes que involucraban métodos similares durante los meses de verano de 2023 señalaron a una persona que presuntamente está vendiendo tokens de criptomonedas robados a través de transferencias entre pares.

Los investigadores lograron identificar y contactar a un individuo en Telegram que ofrecía activos robados. El equipo confirmó que el usuario estaba en control de una dirección que contenía más de USD 6 millones en criptomonedas después de recibir una pequeña transacción de la dirección correspondiente.

Un mensaje del vendedor anunciando tokens robados vinculados a hackeos de CoinEx y Stake. Fuente: Match Systems

El intercambio de activos robados se realizó a través de un bot de Telegram especialmente creado, que ofrecía un descuento del 3% sobre el precio de mercado del token. Después de las conversaciones iniciales, el propietario de la dirección informó que los activos iniciales en oferta se habían vendido y que nuevos tokens estarían disponibles unas tres semanas después:

“Manteniendo nuestro contacto, este individuo nos notificó sobre el inicio de nuevas ventas de activos. Según la información disponible, es lógico suponer que estos son fondos de las compañías CoinEx o Stake.”

El equipo de Match Systems no ha podido identificar completamente a la persona, pero ha reducido su ubicación a la zona horaria europea según varias capturas de pantalla que recibieron y los horarios de las conversaciones:

“Creemos que no es parte del equipo principal, pero está asociado con ellos, posiblemente habiendo sido desanonimizado como garantía de que no malutilizará los activos delegados.”

El individuo también mostró un comportamiento “inestable” y “errático” durante varias interacciones, abandonando abruptamente conversaciones con excusas como “Lo siento, debo irme; mi mamá me está llamando a cenar”.

“Típicamente, ofrece un descuento del 3%. Anteriormente, cuando lo identificamos por primera vez, enviaría 3.14 TRX como una forma de prueba a posibles clientes.”

Match Systems le dijo a Cointelegraph que el individuo aceptaba Bitcoin (BTC) como medio de pago por los tokens robados con descuento y anteriormente había vendido tokens TRON (TRX) por valor de USD 6 millones. La última oferta del usuario de Telegram ha enumerado tokens por valor de USD 50 millones, incluidos TRX, Ether (ETH) y Binance Smart Chain (BSC).

La firma de seguridad en blockchain CertiK anteriormente señaló el movimiento de fondos robados del ataque a Stake en correspondencia con Cointelegraph, con alrededor de USD 4.8 millones del total de USD 41 millones siendo lavados a través de varios movimientos de tokens e intercambios entre cadenas.

Más tarde, el FBI identificó a los hackers del grupo cibernético norcoreano Lazarus Group como los culpables del ataque a Stake, mientras que la firma de ciberseguridad SlowMist también vinculó el hackeo de USD 55 millones de CoinEx al grupo norcoreano.

Esto contrasta ligeramente con la información obtenida por Cointelegraph de Match Systems que sugiere que los perpetradores de los hacks de CoinEx y Stake tenían identificadores ligeramente diferentes en la metodología.

Su análisis destaca que los esfuerzos de lavado de dinero anteriores del Grupo Lazarus no involucraban a países de la Comunidad de Estados Independientes (CEI) como Rusia y Ucrania, mientras que los hacks de verano de 2023 vieron fondos robados siendo lavados activamente en estas jurisdicciones.

Los hackers de Lazarus dejaron mínimas huellas digitales, mientras que los incidentes recientes han dejado muchas migajas para los investigadores. La ingeniería social también se ha identificado como un vector de ataque clave en los hacks de verano, mientras que el Grupo Lazarus apuntó a “vulnerabilidades matemáticas”.

Por último, la firma señala que los hackers de Lazarus solían usar Tornado Cash para lavar criptomonedas robadas, mientras que los incidentes recientes han visto fondos mezclados a través de protocolos como Sinbad y Wasabi. Las similitudes clave siguen siendo significativas. Todos estos hacks han utilizado carteras de BTC como el repositorio principal de los activos robados, así como Avalanche Bridge y mezcladores para el lavado de tokens.

Los datos de blockchain revisados a finales de septiembre de 2023 sugieren que los hackers norcoreanos han robado un estimado de USD 47 millones en criptomonedas este año, incluidos USD 42.5 millones en BTC y USD 1.9 millones en ETH.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.