Este jueves, el ecosistema de las criptomonedas vuelve a temblar tras la revelación de movimiento de fondos sospechoso, de unos 21 millones de dólares en activos digitales desde carteras vinculadas al gigante financiero japonés SBI Group, específicamente a su brazo criptográfico, SBI Crypto.
La noticia, fue divulgada en primer lugar por el prominente investigador “on-chain” ZachXBT, lo que no solo subraya una brecha de seguridad significativa, sino que reactiva todas las alarmas sobre el modus operandi de Lazarus Group, la organización de ciberdelincuentes respaldada por el régimen de Corea del Norte.
Tras conocerse la noticia, SBI Crypto emitió un sencillo anuncio oficial, donde señaló: “10/02: Aviso sobre la salida no autorizada de criptoactivos propiedad de SBI Crypto. SBI Crypto Co., Ltd. ha confirmado una salida no autorizada de criptoactivos que posee la Compañía”.
“La Compañía está trabajando diligentemente para investigar la causa. La Compañía ha confirmado que no ha habido ningún impacto en los clientes que utilizan sus servicios y que todas las funciones del grupo de minería están funcionando con normalidad”.
“Tenga en cuenta que SBI VC Trade Co., Ltd. y BITPoint Japan Co., Ltd., que operan negocios de intercambio de criptoactivos dentro del Grupo SBI, son entidades de gestión de criptoactivos independientes de la Compañía que opera en el extranjero. No se ha confirmado ninguna salida no autorizada ni otros daños en ninguna de estas dos compañías”.
Dado SBI Crypto, no se había dado cuenta del movimiento de los fondos en las cuentas bajo su control que se efectuó el pasado 24 de septiembre, se demuestra que la implacable transparencia del blockchain facilita enormemente que pueda ser monitoreado 24/7 por expertos independientes, como lo hizo ZachXBT.
La investigación detallada de ZachXBT se centró en el análisis de las transacciones en varias cadenas de bloques, revelando una dispersión de activos que rápidamente llamó la atención. Los fondos comprometidos no se limitaron a una única criptomoneda; la supuesta pérdida incluye una mezcla de Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Dogecoin (DOGE) y Bitcoin Cash (BCH).
Esta estrategia de robar múltiples activos en diferentes blockchains es, de por sí, una táctica observada en ataques previos de grupos sofisticados, como Lazarus Group. De allí que, esta fue la primera pista que llevó a los investigadores a presumir su autoría en este robo.
Los movimientos sospechosos se registraron a partir de direcciones de billetera que, según el análisis on-chain, están firmemente asociadas a las operaciones de SBI Crypto. La transferencia de 21 millones de dólares no ocurrió en un único bloque, sino a través de una serie de transacciones coordinadas a lo largo de un período de tiempo que sugiere una exfiltración planificada y metódica.
La primera señal de alerta fue la inusual actividad en carteras que deberían haber mantenido un estado relativamente inactivo o con movimientos predecibles relacionados con las operaciones de un exchange institucional.
En cambio, se observó el vaciado gradual o total de estas direcciones hacia un nuevo conjunto de carteras, conocidas en el argot como “carteras intermedias” o “direcciones de recogida”. Un paso crucial en este tipo de robos es consolidar los diferentes tipos de criptoactivos en una moneda más fácil de blanquear o mover.
El análisis de las transacciones reveló que una porción significativa de los activos robados fue convertida a Ethereum (ETH) y Bitcoin (BTC), las dos criptomonedas con mayor liquidez y, por lo tanto, las más sencillas de intercambiar o “limpiar”.
Este paso de consolidación es vital para los ciberdelincuentes, ya que reduce la cantidad de blockchains que deben monitorear para el proceso de blanqueo. Una vez unificados en ETH, los atacantes se prepararon para el paso más decisivo para ocultar su rastro, llevar los fondos a “un mixer”.
El momento que confirmó las peores sospechas fue la identificación de una porción de los fondos moviéndose hacia, nada más y nada menos que el mixer más sonado de los últimos tiempos en Estados Unidos, Tornado Cash.
Este mixer de criptomonedas, que opera en la blockchain de Ethereum, es una herramienta diseñada para anonimizar transacciones al “mezclar” los fondos de múltiples usuarios, porque una vez, que los fondos ingresan a su dominio, pierde su origen discernible, y el dinero que sale aparece sin un rastro claro de la dirección inicial.
El uso de un mezclador es el sello distintivo de los ciberdelincuentes que buscan encubrir el origen ilícito de los fondos. En este caso, la elección de Tornado Cash es altamente significativa, ya que este mixer fue sancionado en 2022 por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos.
En esa oportunidad, bajo la administración del expresidente Joe Biden, la OFAC argumentó precisamente que se tomaba esa decisión porque Tornado Cash había sido utilizado de manera extensiva para lavar miles de millones de dólares robados por el Lazarus Group para financiar el programa armamentístico norcoreano.
“Cuando se detecta una transferencia masiva de criptoactivos robados que finaliza en Tornado Cash, la conclusión casi automática en la comunidad de seguridad es: Lazarus Group está involucrado”. Sin embargo, con la llegada de Donald J. Trump a la presidencia de EEUU, las cosas cambiaron y fue excluido de la lista.
No obstante, la conexión del robo de SBI Crypto con el Lazarus Group no es una simple especulación, sino que está sustentada por un patrón de comportamiento bien documentado por agencias de inteligencia y firmas de seguridad global, que involucran, ciertos detalles:
1) Buscan objetivos de Alto Perfil: El grupo norcoreano se especializa en atacar criptointercambios, puentes cross-chain (como Ronin y Harmony), y empresas de DeFi (Finanzas Descentralizadas) de gran envergadura para financiar a la República Popular Democrática de Corea (RPDC). Y con SBI Group, siendo una de las mayores empresas de criptomonedas de Japón, encaja perfectamente en su perfil de objetivo.
2) El uso consistente de Mezcladores: El Lazarus Group ha convertido el uso de mezcladores de criptomonedas, y Tornado Cash en particular, en una etapa estándar y casi obligatoria de su proceso de blanqueo. Este paso es tan común que se utiliza como un indicador forense clave para atribuir ataques.
3) Víctimas apuntadas por motivos Geopolíticos: A diferencia de los ciberdelincuentes puramente motivados por el lucro personal, Lazarus actúa bajo el mandato del régimen norcoreano para obtener divisas fuertes que evadan las sanciones internacionales.
El robo de criptomonedas es su principal fuente de ingresos para financiar programas nucleares y de misiles, elevando la importancia de estos ataques de un simple delito a una cuestión de seguridad nacional e internacional.
Aunque SBI Group aún no ha emitido un comunicado señalando el análisis post-mortem del exploit o en donde confirme a qué grupo le fue atribuido el ciberataque, la evidencia on-chain presentada por ZachXBT y la coincidencia de tácticas de blanqueo con el historial del Lazarus Group son altamente condenatorias.
Este incidente sirve como un recordatorio sombrío de que, a pesar de los avances en la seguridad de los activos digitales, el blockchain sigue siendo un campo de batalla de alta intensidad donde actores estatales maliciosos buscan explotar cualquier vulnerabilidad.
La comunidad de análisis on-chain y las fuerzas del orden ahora se centrarán en rastrear la salida de los fondos de Tornado Cash, un proceso notoriamente difícil, pero no imposible, con la esperanza de poder congelar o recuperar una parte de los 21 millones dólares antes de que se pierdan por completo.