4 millones de dólares en Ethereum robados! El proceso completo de lavado de dinero por hackers expuesto, mecanismo de firma múltiple comprometido

Unleash Protocol martes reveló una pérdida de 1,337 ETH valorada en 4 millones de dólares. Peckshield y CertiK rastrean que los hackers, a través de Tornado Cash, han lavado dinero enviando múltiples transacciones de 100 ETH a servicios de mezclado. Los atacantes obtuvieron sin autorización el control del sistema de gobernanza multisig, posiblemente mediante ingeniería social para ejecutar actualizaciones de contrato no autorizadas y sortear controles para retirar fondos.

Registro de rastreo de lavado con Tornado Cash

Según actividades en la cadena y reportes de varias empresas de seguridad, los hackers están intentando lavar dinero usando el protocolo Tornado Cash en Ethereum. Tornado Cash es un servicio de mezcla de criptomonedas que, al combinar fondos de múltiples usuarios, rompe la trazabilidad entre origen y destino de los fondos, dificultando que las autoridades rastreen el flujo de dinero.

Peckshield señala que los atacantes parecen haber enviado muchas transacciones de 100 ETH a este popular servicio de mezcla. Esta estrategia de transferencias en lotes es típica en lavado de dinero, ya que mover grandes sumas en una sola vez es más fácil de detectar. Dividir los 1,337 ETH en 13 a 14 transacciones de 100 ETH, con intervalos de tiempo entre ellas, reduce el riesgo de detección inmediata.

CertiK comenzó a marcar retiros sospechosos de Wrapped ETH y tokens IP, enviados a una cuenta externa que parece configurada con SafeProxyFactory. Este detalle técnico revela el nivel de profesionalismo de los hackers; SafeProxyFactory es la fábrica de contratos de Gnosis Safe (ahora Safe), utilizada para desplegar nuevas billeteras multisig. Los hackers crearon estas billeteras temporales para recibir fondos ilícitos, demostrando un profundo conocimiento del ecosistema Ethereum.

Los activos afectados incluyen WIP, USDC, WETH, stIP y vIP, la mayoría ya puenteados a Ethereum y enviados a Tornado Cash. El proceso de puenteo en sí mismo aumenta la dificultad de rastreo, ya que los activos atraviesan múltiples contratos y direcciones en el proceso, diluyendo las pistas en cada transferencia. Una vez en Tornado Cash, los fondos se mezclan con los de otros usuarios formando una “caja negra”, donde los fondos de salida no pueden vincularse con los de entrada.

Es importante notar que Tornado Cash ha sido sancionado por el Departamento del Tesoro de EE. UU. desde 2022, por lo que usar el servicio en sí mismo es ilegal. Sin embargo, la sanción no ha detenido completamente su funcionamiento, ya que Tornado Cash es un protocolo descentralizado basado en contratos inteligentes, imposible de cerrar como un servicio centralizado. Los hackers están dispuestos a arriesgarse legalmente usando Tornado Cash, lo que muestra su cautela respecto a las técnicas de rastreo.

Cómo fue vulnerado el sistema de gobernanza multisig

El martes por la mañana, Unleash reveló un incidente de vulnerabilidad de seguridad. El proyecto ha suspendido operaciones y comenzó análisis forenses del ataque, que parece haber sido causado por la ruptura del mecanismo multisig. En X, Unleash escribió: «Nuestra investigación preliminar indica que una dirección externa, mediante la gobernanza multisig de Unleash, obtuvo control administrativo y realizó una actualización de contrato no autorizada.»

En otras palabras, los atacantes lograron sin autorización el control del sistema de gobernanza de Unleash Protocol, posiblemente mediante ingeniería social, phishing u otras vulnerabilidades, permitiéndoles ejecutar actualizaciones que evaden controles y extraer fondos de los usuarios. Este patrón de ataque no es raro en DeFi, pero su éxito en vulnerar un mecanismo multisig ha generado preocupación.

Las billeteras multisig (Multi-Signature Wallet) son uno de los mecanismos más comunes para proteger activos en DeFi. Requieren que múltiples claves privadas firmen para ejecutar transacciones, en teoría, incluso si una clave es robada, los fondos no pueden ser sustraídos. Sin embargo, este ataque demuestra que los mecanismos multisig no son infalibles.

Tres posibles fallos en el mecanismo multisig

Ataque de ingeniería social: Hackers mediante correos phishing o mensajes falsos inducen a los firmantes a revelar sus claves privadas

Malversación interna: Personal interno con múltiples claves colabora o es sobornado por los hackers

Vulnerabilidad en el contrato: El contrato multisig tiene fallos en su código que permiten a los atacantes evadir los requisitos de firma

La declaración de Unleash enfatiza que la «dirección externa» obtuvo control, sugiriendo que no fue un insider, sino un atacante externo que, mediante técnicas técnicas o sociales, logró obtener suficiente autoridad de firma. La actualización permitió extraer fondos sin aprobación del equipo de Unleash, fuera de los procedimientos de gobernanza y operación previstos, demostrando que los atacantes tenían control total.

Alerta de seguridad en el ecosistema de Story Protocol

Unleash indica: «El incidente proviene del marco de gobernanza y permisos del protocolo Unleash», y añade que «el impacto parece limitado a contratos y controles de gestión específicos de Unleash», y que «no hay evidencia de que los contratos de Story Protocol, validadores o infraestructura subyacente hayan sido comprometidos». Esta declaración busca limitar el alcance del daño a Unleash, evitando afectar todo el ecosistema de Story Protocol.

Unleash es una de las muchas aplicaciones construidas sobre Story Protocol. Story Protocol es un protocolo relativamente nuevo de capa 1, enfocado en aplicaciones de tokenización de propiedad intelectual. La firma detrás de Story, PIP Labs, ha recaudado 1.4 mil millones de dólares en financiamiento, con inversores de primer nivel. Si este lavado de dinero genera dudas sobre la seguridad del ecosistema de Story Protocol, podría afectar otras aplicaciones basadas en él y la valoración general.

El equipo de Unleash ha advertido a los usuarios que no interactúen con el protocolo y que compartirán actualizaciones sobre el ataque y posibles remedios en cuanto tengan información confiable. La suspensión de operaciones es una medida estándar para evitar que los hackers exploten más vulnerabilidades y roben fondos, aunque también implica que los usuarios legítimos no podrán acceder a sus activos temporalmente.

Desde una perspectiva más amplia, este lavado de dinero vuelve a poner en evidencia los riesgos de gobernanza en protocolos DeFi. Aunque los mecanismos multisig son más seguros que las firmas simples, aún dependen de la operación humana, que es la parte más vulnerable. A medida que el valor bloqueado en DeFi crece, los ataques dirigidos a sistemas de gobernanza podrían volverse más frecuentes y sofisticados.