Más de 1.500 bitcoins (más de 100 millones de dólares estadounidenses al cambio actual), que habían estado guardados en los alijos de los hackers durante más de 7 meses, empezaron a moverse. Los Fondos robados que están asociados con grandes hackeos de los últimos años, y que la investigación del FBI atribuyó anteriormente a las actividades del Grupo Lazarus (comunicado de prensa del FBI), empezaron a blanquearse.
Aquí tienes una lista de estas direcciones:
3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG
39idqitN9tYNmq3wYanwg3MitFB5TZCjWu
3AAUBbKJorvNhEUFhKnep9YTwmZECxE4Nk
3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc
3NbdrezMzAVVfXv5MTQJn4hWqKhYCTCJoB
34VXKa5upLWVYMXmgid6bFM4BaQXHxSUoL
Nuestro equipo de analistas, que está investigando este incidente, determinó que, hasta la fecha, los hackers ya han logrado blanquear más de 44 BTC (más de 3 M$ al cambio actual) a través de los exchanges de criptomonedas HTX, CoinEx y FixedFloat.
A pesar de la presencia de marcados de sanciones, los hackers logran blanquear casi libremente los fondos robados a través de exchanges de criptomonedas que cumplen las políticas AML. Esto es posible en gran medida debido a que los hackers usan esquemas especiales de blanqueo que les permiten engañar a los sistemas AML de los exchanges, que no siempre están al día con los marcados y se enteran de la aceptación de fondos robados después de que los hackers ya los han retirado de los exchanges.
Match Systems insta a los exchanges de criptomonedas y a toda la comunidad cripto a prestar atención a las direcciones de los hackers mencionadas para impedir que los hackers lleven a cabo sus planes.
Hacker:
Equipo de Safemoon:
Hacker:
Equipo de Safemoon:
Equipo de Safemoon:
Equipo de Safemoon:
0x60dc5bb048310224b8732d732f4a32d16690e470 – usada por un Tercero desconocido, una persona que conoce al hacker y al equipo de Safemoon, y dispuesta a mediar en el incidente, envió mensajes al hacker
0x70b8172e628992007453aa4fe27048b59957e0ef – usada por un Tercero desconocido para enviar mensajes al equipo de Safemoon y al hacker


Cronología de los eventos clave
La cronología del incidente (UTC) tal cual

Nuestro zoo
Los puntos de interés, según lo anterior:
0x286e09932b8d096cba3423d12965042736b8f850 – la dirección de la retirada inicial de los activos del contrato inteligente. También usada por el hacker para enviar mensajes al equipo del proyecto Safemoon (la llamaremos «Capibara pelirroja»)
0x237d58596f72c752a6565858589348d0fce622ed – la dirección donde se mantienen actualmente los activos. (la llamaremos «Suricata azul») 000000000000000000000000000000
0x60dc5bb048310224b8732d732f4a32d16690e470 – la dirección desde la que se recibió el mensaje que ofrecía al mediador para las negociaciones (llamémosla «Paloma amarilla»)
0x60dc5bb048310224b8732d732f4a32d16690e470 – la dirección desde la que se recibió el mensaje que ofrecía al mediador para las negociaciones (llamémosla «Paloma amarilla»)
Desanonimización de las bestias
- La desanonimización de la Capibara pelirroja puede hacerse obteniendo información de Binance sobre los propietarios de las direcciones de depósito:
0x207e689ba4fdcd8e6e3a4a40d8247d7cce1462b3, 0xeec475b4bed5822eef6ccda45c52ff54da1414f7
y los iniciadores de las transacciones que aportaron el «gas»
0x34927071e8c58c99db192b88f58a3ef2b1b6cf998f21dc1a08be270e519ec57e
0xb730a8be2a0a2ec13aba48fcc33dae8a1d5e31383df270fee16d48b681e1c861
0x40e2969e2c88c642a332acaca8c706d3c415d8a253d45d36ca77c6b6a790d54f
0x1ee79a12b795d3554e98c4c84c482f2e2f3b6eb87e80649dfccee20f8e818382
0x24da81ed18e1d129dffdbb9ffa0c8c37edfd22b012f52d89030a45169f47a17e

- Desanonimización de la Suricata azul a través de la Capibara pelirroja

- La desanonimización de la Paloma amarilla puede hacerse obteniendo información de Binance sobre el propietario de la dirección de depósito:
TLaUFJmCwU3GazcmHKVkvNKE4EgU9qmvYH
y el iniciador de la transacción que aportó el «gas»
2b081cd589254db6ed7eaf5128d2a3c762ac66bea183d4ce2a65941279984fa8
También de Paxful sobre otros iniciadores:
656995b7d2af3941f916db96cbd1d903717ca869b877b37042bef7e2503cc4c5
036ca0e667922e741d3813666bc04bb76f8b34f3c875d72ca5f8f82ba91b9c45
b6e2ff66ee8e6f28476a6d02a5cb9c439546fee306f4ee589e1ea30ba43cc1b9
3fc3ab6748937ddd9d791c036673b7cf90f55b71cb64bddebe76b0d5b4edda0c

- En cuanto a la dirección del «Zorro negro» 0x70b8172e628992007453aa4fe27048b59957e0ef, por el momento no es posible establecer ningún dato adicional.

Algunos detalles técnicos del hackeo y la respuesta de la comunidad
Este fallo, a su vez, ha provocado una ola de indignación y acusaciones contra los desarrolladores. La comunidad negó la idea de que este fallo fuera accidental y acusó a los desarrolladores de la implementación intencionada del fallo en un contrato inteligente en funcionamiento.
Más, y más, y más…

Entre otras cosas, el usuario de «https://dune.com/» con el apodo «@factsudeny» publicó las direcciones que, en su opinión, estaban relacionadas con Safemoon y aportó un análisis de esas direcciones. La analítica cross-chain muestra que estas direcciones tienen coincidencias en varias blockchains 0x, pero hasta que se confirme que pertenecen a Safemoon y se establezca la necesidad de estudiarlas siquiera, una investigación más profunda queda fuera de interés.

A modo de conclusión
El estudio encontró estrechos vínculos entre los atacantes y los exchanges centralizados de criptomonedas, lo que, a su vez, permitirá a las fuerzas del orden solicitar los datos pertinentes e identificar a las personas implicadas, si existe una razón imparcial para hacerlo
El hecho de que los desarrolladores hicieran cambios en el contrato inteligente que permiten tales manipulaciones merece una atención adicional. Teniendo en cuenta que la versión anterior del contrato inteligente no tenía tales vulnerabilidades, y que tras la actualización se produjo un hackeo en un periodo relativamente corto, parece razonable llevar a cabo una auditoría interna adicional respecto a las personas implicadas en la realización de estos cambios.
Posdata
Esta investigación puede estar incompleta y parte de la información puede faltar, ya que fue realizada por nuestro equipo en su propio tiempo con fines de práctica. En el momento de redactar esto, no tenemos ningún contrato ni NDA que nos restrinja a recopilar, analizar o difundir la información, así como a investigar en profundidad el incidente, si fuera necesario.
Populares
- Artículos Un usuario legítimo puede ver su USDT congelado por fondos con un historial contaminado.
- Artículos ¿Se pueden recuperar las criptomonedas robadas?
- Noticias Estafa del enlace de reunión falso: cómo se roba la cripto
- Noticias Sanciones a HTX: riesgos para los activos cripto
- Artículos Cómo los hackers roban criptomonedas
- Noticias Tether descongeló 79 M$ — y sabemos por qué
- Artículos ¿Te robaron cripto? Los primeros 60 minutos deciden qué se puede recuperar.
- Noticias Recuperación de criptoactivos a través de redes OTC
- Artículos Tether congeló tus USDT: qué está pasando y qué hacer
- Artículos Las carteras cripto se hackean a través de dispositivos, apps y error humano, no de la blockchain.
