Apenas una semana después de realizar un exploit en la billetera caliente de Deribit, los perpetradores de este hack movieron una parte de los fondos robados a Tornado Cash, el servicio mezclador de Ethereum.
Descifrando el truco de Deribit
Deribit, un criptointercambio con sede en los Países Bajos, informó sobre el exploit en su billetera caliente el 2 de noviembre. El hackeo real se llevó a cabo a última hora del 1 de noviembre, donde los piratas informáticos se llevaron $ 28 millones en BTC, ETH y USDC.
Deribit dejó en claro que solo su billetera activa se vio afectada por el hackeo, no la billetera fría. El intercambio ofreció además reembolsar cualquier pérdida que sufrieran sus clientes.
La billetera caliente de Deribit está comprometida, pero los fondos de los clientes están seguros y las pérdidas están cubiertas por las reservas de la compañía
Nuestra billetera caliente fue pirateada por USD 28 millones esta noche, justo antes de la medianoche UTC del 1 de noviembre de 2022.
— Deribit (@DeribitExchange) 2 de noviembre de 2022
Una vez que se difundió la noticia del hackeo, la plataforma suspendió de inmediato todos los retiros. A través del tweet anterior, Deribit aclaró que, por su propia seguridad, los usuarios deben abstenerse de realizar depósitos o transacciones a través de la plataforma hasta que se completen los controles de seguridad necesarios.
La serie de hacks y exploits continuó hasta noviembre, después de que el mes pasado se robaron varios cientos de millones en criptos.
$ 2.5 millones se movieron a Tornado Cash
Según datos de Etherscan, los perpetradores transfirieron 1610 ETH al servicio mezclador Ethereum. Esta transferencia se distribuyó en 17 transacciones diferentes, todas menos una con un valor de 100 ETH cada una.
En el momento de la publicación, el ETH transferido valía 2,5 millones de dólares.
Fuente: Etherscan
Al momento de escribir, a la billetera del pirata informático le quedaban 7501 ETH, que valían $ 11.8 millones. Esta billetera recibió inicialmente 9080 ETH luego del ataque la semana pasada y la cantidad restante probablemente se mantuvo en BTC.
Tornado Cash fue sancionada a principios de este año en agosto por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos. Las autoridades citaron el papel del mezclador para ayudar con el lavado de miles de millones de monedas virtuales con orígenes ilícitos.
Sin embargo, la prohibición fue ampliamente criticada por la criptocomunidad por ser injusta e infringir el derecho a la privacidad del usuario.