¡Se perdió todo el fondo de pensiones! El Billetera de XRP de los inversores fue hackeada, 3 millones de dólares fluyeron hacia el blanqueo de capital Huione.

Brandon LaRoque, un jubilado de 54 años, descubrió que los 1.2 millones de XRP (valorados en aproximadamente 3 millones de dólares) en su billetera Ellipal XRP fueron robados, lo que representa todos sus ahorros de toda una vida acumulados desde 2017. El investigador de cadenas de bloques ZachXBT rastreó esta pérdida a través de más de 120 intercambios cross-chain y descubrió que los activos desaparecieron en un comercio OTC vinculado a Huione.

Se perdió toda la pensión: vulnerabilidad de seguridad mortal en la billetera XRP

(Fuente: Youtube)

El incidente comenzó a principios de este mes, cuando Brandon LaRoque descubrió que 1.2 millones de XRP en su billetera Ellipal XRP habían sido robados. Cabe destacar que esta cantidad robada tiene un valor de 2.88 millones de dólares según la tasa de cambio actual, que representa todos los ahorros de toda la vida de este hombre jubilado de 54 años acumulados desde 2017.

Él originalmente pensaba que sus fondos estaban seguros en la billetera fría. Sin embargo, más tarde, LaRoque descubrió que al introducir su frase semilla en la aplicación móvil de Ellipal, en realidad había convertido la configuración en una billetera caliente. Este malentendido fatal llevó a consecuencias desastrosas.

“He estado acumulando XRP durante los últimos ocho años,” dijo Laroque en un video de YouTube sobre el robo. “Esto equivale a toda nuestra vida de jubilación, no sé qué hacer.” Esta voz desesperada no es rara en los casos de robo de billeteras de XRP.

El caso de Ellipal ha vuelto a suscitar el debate sobre la seguridad de la custodia autónoma. Las víctimas confundieron la billetera fría de Ellipal con la billetera caliente basada en aplicaciones, lo que refleja la falta de claridad en el diseño de la billetera XRP y la falta de educación para los usuarios. Una billetera fría debería estar completamente fuera de línea, y la clave privada nunca debería tocar la red. Sin embargo, cuando los usuarios ingresan la frase semilla en la aplicación móvil, la clave privada queda expuesta en un entorno en línea, convirtiéndose esencialmente en una billetera caliente.

Esta ambigüedad en el diseño es un problema común en muchas billeteras XRP. Los usuarios a menudo creen erróneamente que al usar una billetera de hardware o una “billetera fría” como la que afirma la marca, los fondos están absolutamente seguros. En realidad, cualquier error en el proceso operativo puede comprometer la seguridad. Es cuestionable si Ellipal ha advertido adecuadamente sobre este riesgo en la interfaz de usuario y la documentación.

Huione red de lavado de dinero: 150 mil millones de dólares de canal negro

La investigación en cadena de ZachXBT reveló que los atacantes intercambiaron XRP robado a través de 120 transacciones de puente Ripple-a-Tron. Aprovecharon Bridgers (anteriormente conocido como SWFT) y luego consolidaron los fondos en Tron. En tres días, estos activos desaparecieron en el mostrador de comercio OTC vinculado a Huione.

El Departamento del Tesoro de los Estados Unidos recientemente impuso sanciones a esta red de pagos del sudeste asiático, ya que la empresa estaba llevando a cabo lavado de dinero a través de fraudes, trata de personas y delitos cibernéticos, involucrando cantidades de miles de millones de dólares. El caso vincula el robo de la billetera XRP con la red de Huione, exponiendo una debilidad clave en la aplicación de la ley a nivel mundial. Las autoridades estadounidenses afirman que el lavado de dinero de Huione facilitó transferencias ilegales por más de 15 mil millones de dólares.

El modelo de operación de la red de lavado de dinero de Huione es extremadamente encubierto. Como proveedor de servicios de pago y cambio de divisas aparentemente legal, Huione opera en varios países del sudeste asiático, proporcionando a los delincuentes un canal para cambiar criptomonedas por moneda fiduciaria. Debido a la regulación relativamente laxa en estos países y la dificultad de coordinación de la aplicación de la ley, Huione ha podido evadir sanciones durante mucho tiempo.

La desventaja es que, incluso si la ruta de la cadena de bloques es pública, sigue siendo difícil interrumpir los canales de lavado de dinero que cruzan jurisdicciones. ZachXBT puede rastrear el flujo de fondos hacia Huione, pero no puede detener que esos fondos sean cobrados y desaparezcan allí. Este vacío en la aplicación de la ley es la razón fundamental del auge del crimen en criptomonedas.

Proceso de tres pasos para el lavado de dinero de Huione:

Primer paso: confusión cross-chain: convertir XRP a Tron a través de 120 transacciones de puente, difuminando la fuente de fondos.

Segundo paso: Integración de la transferencia: integrar fondos pequeños en un monto mayor y transferirlo a una nueva dirección en la cadena Tron.

Paso tres: Comercio OTC: canje a moneda fiat a través del mostrador de comercio OTC vinculado a Huione, desapareciendo completamente.

95% de recuperación de la empresa son depredadores: cadena de industria de fraude secundario

A pesar de que las fuerzas del orden a menudo tienen dificultades para reaccionar rápidamente, ZachXBT señala que ha surgido una economía de recuperación que se aprovecha de la desesperación de las víctimas. Escribió: “Otra lección es que más del 95% de las empresas de recuperación son depredadoras, que solo ofrecen informes básicos y cobran altas tarifas, pero rara vez proporcionan información útil.”

Él agregó que muchas de estas empresas dependen de la optimización de motores de búsqueda y la segmentación en redes sociales para atraer a las víctimas de robo de billeteras XRP. Normalmente solo ofrecen informes superficiales sobre la cadena de bloques, o le dicen a los clientes “contactar a la bolsa”. El valor real de este servicio es extremadamente bajo, pero las tarifas son extremadamente altas, a menudo exigiendo a las víctimas que paguen decenas de miles de dólares en tarifas iniciales o un alto porcentaje después de recuperar con éxito.

Este mecanismo de segunda capa ha convertido muchos ataques de hackers de alto valor en crímenes de múltiples etapas. Primero, el propio hacker lleva a cabo el ataque, y luego están los falsos operadores de recuperación, que prometen recuperar fondos que en realidad ya han desaparecido. Para víctimas como LaRoque, que ya ha perdido 3 millones de dólares, estas falsas promesas de las empresas de recuperación son como una carga adicional.

ZachXBT insinúa que la verdadera tragedia es que la próxima ola de pérdidas podría no provenir de los hackers, sino de aquellos que afirman ayudar a recuperar los fondos. Cuando las víctimas buscan ayuda en su desesperación, estas empresas depredadoras aprovechan su esperanza e impotencia para sacar el último valor.

Lecciones de seguridad de la billetera XRP: la mortal confusión entre billeteras frías y calientes

Además de las pistas sobre lavado de dinero y la recuperación de estafas corporativas, el caso de Ellipal ha vuelto a suscitar el debate sobre la seguridad de la auto-custodia de la billetera XRP. Las víctimas confundieron la billetera fría de Ellipal con la billetera caliente basada en aplicaciones, lo que refleja una falta de claridad en el diseño de la billetera y una deficiencia en la educación de los usuarios.

La diferencia fundamental entre una Billetera fría y una Billetera caliente radica en si la clave privada está expuesta a la red. La clave privada de una verdadera Billetera fría nunca toca ningún dispositivo conectado a la red, y todas las firmas de transacciones se completan en un entorno fuera de línea. En comparación, la clave privada de una Billetera caliente se almacena en dispositivos conectados a la red, lo que facilita su uso pero presenta una menor seguridad.

El error de LaRoque radica en ingresar la frase semilla en la aplicación móvil. Aunque el dispositivo hardware Ellipal en sí mismo es una billetera fría, una vez que la frase semilla se ingresa en una aplicación conectada a Internet, la seguridad de toda la billetera XRP se degrada a la de una billetera caliente. Este error operativo puede deberse a un malentendido sobre el funcionamiento de la billetera, o puede ser que la interfaz de usuario de Ellipal no advierta adecuadamente sobre el riesgo de esta operación.

Debido a la falta de capacidad de las autoridades para tratar los delitos relacionados con las criptomonedas, las esperanzas de recuperar 3 millones de dólares de LaRoque son escasas. Con redes de lavado de dinero transnacionales como Huione volviéndose cada vez más desenfrenadas, la dificultad de recuperación también ha aumentado. Incluso si ZachXBT puede rastrear el flujo de fondos, una vez que los fondos entran en la red de Huione y se convierten en moneda fiduciaria, la transparencia de la cadena de bloques pierde su efectividad.