Este martes, el reconocido investigador onchain, ZachXBT a través de su canal de Telegram, criticó a la criptoindustria por hacerse de la vista gorda en el esquema de lavado de los 401.347 ETH (equivalentes para ese momento a más de 1.400 millones de dólares) robados al criptointercambio Bybit.
Cómo se recordará, hace casi un mes atrás, el criptointercambio Bybit fue objeto de un ciberataque exitoso, que logró a través de una táctica conocida como phishing de interfaz, llevar a cabo el robo de ETH desde la billetera fría multisig (almacenamiento seguro fuera de línea), de acuerdo a lo explicado por Ben Zhou, CEO de Bybit.
Básicamente, este método permitió a los miembros de la Amenaza Persistente Avanzada (APT), Lazarus Group, también conocido como APT38, vinculado a Corea del Norte, la capacidad de manipular una transacción desde esta billetera fría hacia una billetera caliente (conectada a la red).
De esta forma, se engañó a los firmantes del contrato inteligente, haciéndolos aprobar cambios en la lógica del sistema sin darse cuenta del peligro, lo que se tradujo en el robo más grande de la industria de las criptomonedas.
Este ciberataque fue analizado en un reporte por la startup de blockchain Cubist, cofundada por profesores de informática de la Universidad Carnegie Mellon, la Universidad de Stanford y la Universidad de California en San Diego, que posee una plataforma de gestión de claves sin custodia, revelando ciertas carencias en la implementación de seguridad de Bybit.
La propia Oficina Federal de Investigación de EEUU (FBI, «por sus siglas en inglés»), confirmó en un comunicado, que el grupo cibercriminal Lazarus Group, estaba detrás del robo a Bybit, que ahora está en proceso de recuperación, se acuerdo a Zhou, el CEO del criptointercambio. Los detalles del proceso son revelados en la Web lazarusbounty.com.
ZachXBT que es uno de los investigadores dedicados a buscar los fondos robados, abordó en su canal de Telegram todo lo que ha acontecido a raíz de su trabajo como investigador onchain apoyando a Bybit en el congelamiento de los fondos robados por Lazarus Group.
“Pasar largas horas ayudando a congelar fondos para el hackeo de Bybit ha sido revelador. Esta industria está increíblemente contaminada en cuanto a exploits/hackeos y, lamentablemente, no sé si la industria va a solucionar esto por sí sola a menos que el gobierno apruebe regulaciones forzadas que perjudiquen a toda nuestra industria” comienza comentando ZachXBT.
Y continuó señalando en su canal de Telegram: “Varios protocolos «descentralizados» han derivado recientemente casi el 100% de su volumen/tarifas mensuales de la RPDC y se niegan a asumir ninguna responsabilidad”.
“Las plataformas de intercambio centralizadas terminan siendo peores, ya que cuando fluyen fondos ilícitos a través de ellas, algunas tardan varias horas en responder, mientras que blanquearlos solo toma minutos”.
“KYT es completamente defectuoso y fácilmente evasible. KYC es simplemente una trampa para usuarios comunes debido a filtraciones/infiltrados y es inútil en la mayoría de los casos debido a las cuentas compradas. El lavado de 1.400 millones de dólares por parte de la RPDC del reciente hackeo solo ha puesto de manifiesto sus deficiencias”, afirmó el investigador onchain ZachXBT.
En primer lugar en su crítica puso énfasis en la vulnerabilidad de las plataformas criptográficas a los “exploits/hackeos”, poniendo en duda que la industria de las criptomonedas pueda “solucionar esto por sí sola”.
No obstante, en este punto hay que aclarar que prácticamente no existen sistemas 100% seguros en línea. Todo sistema informático es vulnerable y sólo es cuestión de tiempo antes de que pueda ser atacado con éxito.
De hecho, hace unos días atrás informamos como la APT Lazarus Group, principal responsable del ciberataque y posterior robo de ETH a Bybit, se ha encargado de crear paquetes npm maliciosos que son usados a diarios por desarrolladores, desde los repositorios de librerías de desarrollo en plataformas como GitHub, GitLab, SourceForge, entre otras.
Dichos paquetes envenenados, están diseñados para robar credenciales e implementar puertas traseras en sistemas en desarrollo. Dichos paquetes maliciosos, fueron hallados por el equipo de investigación de Socket, una plataforma de seguridad creada para desarrolladores, la cual solicitó a GitHub que estos paquetes sean borrados.
Sin embargo, esto no elimina la amenaza por sí mismo, ya que dichos paquetes habían sido descargados cientos de veces antes de que fueran eliminados. Esto demuestra, la capacidad que posee la APT Lazarus Group, que sólo se puede justificar por el apoyo de un gobierno detrás de estos ciberdelincuentes, que en este caso, es la República Popular Democrática de Corea (RPDC), también conocida como Corea del Norte.
De allí que, los criptointercambios deban trabajar coordinados con grandes empresas tecnológicas y empresas de ciberseguridad, si desean poder aumentar realmente la seguridad de sus plataformas en línea y Smart Contracts, algo que también encarece los costos y reduce el margen de beneficios, por lo que es poco probable que los criptointercambios CEX más pequeños se lo puedan permitir. En consecuencia, la unión es de este sector es la única fortaleza que les queda.
Y allí es donde entra otro de los puntos de la crítica que realizó el día de ayer ZachXBT, cuando dijo que la criptoindustria estaba “contaminada”. El investigador onchain, reveló que varios protocolos DeFi, habían ganado comisiones de “casi el 100% de su volumen/tarifas mensuales”, por permitir que los fondos robados desde la RPDC pasaran por sus protocolos y puentes L2.
Al respecto, no cabe más que entender que todos los actores de la criptoindustria pueden salir perjudicados por igual si los golpes de Lazarus Group y otros actores cibercriminales comienzan a crear golpes exitosos en la criptoindustria. Ello implica que todos deben colaborar con todos cuando ocurren este tipo de golpes, para evitar que los fondos sean lavados.
ZachXBT, fue enfático al señalar “y se niegan a asumir ninguna responsabilidad”, lo que demuestra que siempre está el interés de las tarifas por encima del congelamiento de dichos fondos. La crítica también fue extendida a los CEX, que según el investigador onchain “terminan siendo peores”, por su demora en responder antes de que los fondos sean lavados, “mientras que blanquearlos solo toma minutos”, lo que claramente le da una ventaja a los cibercriminales.
Esto pone de manifiesto que, todas las medidas de cumplimiento existentes, desde los protocolos Know Your Transaction (KYT) basados en los requisitos Know Your Customer (KYC), que están contemplados en las regulaciones bancarias y ahora en la criptoindustria, realmente no sirven de nada, ya que aunque los actores sean identificados se sabe que muchas de esas cuentas son compradas y la criptoindustria no hace nada al respecto.
En consecuencia, cualquier acción recae en los usuarios afectados, quienes son a la final quienes deben buscar averiguar quiénes son los propietarios de las direcciones sucias donde se lavaron fondos robados y además, son ellos quienes deben ubicar a los ciberdelincuentes.
ZachXBT, por ello señala que si llegado el caso, los gobiernos deciden intervenir para imponer regulaciones más estrictas, probablemente, esto dañará a las criptoempresas, porque podría crear cargas de cumplimiento tan onerosas como las de la banca.
La conclusión final de ZachXBT es lo que seguro despertará muchos comentarios en la criptoindustria y posiblemente en la esfera política: “El lavado de 1.400 millones de dólares por parte de la RPDC del reciente hackeo solo ha puesto de manifiesto sus deficiencias”, una dura crítica pero necesaria para mejorar.