Una investigación reveló que la mayor parte de los fondos en bitcoins sustraídos por ciberdelincuentes de la casa de cambio Bithumb, en el mes de junio, terminaron en una sola casa de cambios: Yobit. El reporte fue publicado el martes 9 de octubre por la firma de ciberseguridad londinense Elliptic, la cual se ocupa de la investigación de actividades delictivas relacionadas con criptomonedas.
De acuerdo con Tom Robinson, director de datos de la firma, la investigación determinó que 1.993 BTC fueron trasladados a Yobit en más de 68 transacciones. Las transferencias se realizaron entre el 2 y el 6 de agosto de 2018 desde una cartera de criptomonedas, presuntamente propiedad de los atacantes. El monedero había permanecido inactivo por más de un mes.
Durante el ciberataque sufrido por Bithumb el pasado mes de junio, fueron sustraídos criptoactivos valorados en $ 30 millones de dólares para el momento. La plataforma reportó que la cantidad de bitcoins sustraídos fue de 2.016 BTC, muy similar a la cantidad transferida a la casa de cambio rusa Yobit.
El robo fue atribuido al grupo de piratas informáticos conocido como Lazarus, quienes presuntamente operan desde Corea del Norte. El informe señala que la debilidad de Yobit en sus controles KYC (conoce a tu cliente) y AML (antilavado de dinero), podría explicar por qué fue seleccionada para transferir los fondos. Aunque no descarta que para los hackers norcoreanos sea más fácil blanquear los fondos a través de intercambios por moneda fiduciaria en Rusia.
El rastreo
Los investigadores lograron identificar las transferencias realizadas por los atacantes el día del robo, al notar un patrón fuera de lo común en las comisiones pagadas por las transacciones. Mientras que las tarifas pagadas regularmente en Bithumb oscilaban entre 0,0001 y 0.03 BTC, las operaciones relacionadas con el robo pagaron exactamente 0,1 BTC por transacción.
“Aproximadamente la cantidad reportada como robada se transfirió fuera de Bithumb, aproximadamente en el momento del ataque, en alrededor de 400 transacciones utilizando una tarifa no característica de los retiros típicos, todo en una sola billetera”, explicó el investigador Robinson.
Las 400 transacciones enviaron fondos de Bithumb a una única cartera bitcoin compuesta por 70 direcciones, la cual recibió los 1,993 BTC, gran parte del total reportado como perdido. Estos mismos fondos fueron transferidos posteriormente a la casa de cambio rusa.
Debilidad en los controles
El reporte recalca que YoBit permite a sus usuarios el intercambio entre dólares estadounidenses, rublos rusos y varias criptomonedas, así como mover los activos dentro y fuera de la casa de cambio a través de varios procesadores de pago. En opinión de Robinson, es probable que la mayoría de los bitcoins robados de Bithumb se enviaran a una central rusa, “quizás para lavarlos y convertirlos en otros criptoactivos o en moneda fiduciaria”.
Usar casas de cambio de criptomonedas que mantienen un débil seguimiento de sus clientes es una práctica empleada anteriormente por el grupo Lazarus. El informe hace referencia a los fondos obtenidos a través del ransomware Wannacry, atribuido también al grupo de hackers norcoreanos. Este botín se envió a la casa de cambio suiza Shapeshift, el cual se usó para convertir los fondos a Monero. Poco después de conocerse esta información, Shapeshift anunció la introducción de los requisitos de identificación del cliente.
Bithumb informó a finales de junio que estaba trabajando con algunos intercambios para recuperar los fondos robados, pero el reporte no aclara si se logró este cometido con los fondos enviados a YoBit.
Imagen destacada por Bits and Splits / stock.adobe.com
Autor original: Genny Diaz