La investigación revela vínculos con lavado de dinero a través de Tornado Cash en un hackeo de billetera de criptomonedas de $282 millones

Trabajo forense reciente sobre el hackeo de la billetera de $282 millones ha descubierto una extensa actividad de lavado de dinero a través de Tornado Cash que continuó mucho después del robo inicial.

CertiK vincula los flujos del mezclador con la compromisión de la billetera de $282 millones

La firma de seguridad blockchain CertiK ha rastreado $63 millones en flujos de Tornado Cash hasta la brecha en la billetera cripto del 10 de enero que drenó $282 millones. El equipo identificó nueva actividad de lavado y confirmó movimientos recientes de fondos vinculados a la compromisión original. Además, el nuevo vínculo extiende significativamente la línea de tiempo conocida de actividad tras el robo.

Según CertiK, el atacante dirigió los activos robados a través de múltiples blockchains antes de enviarlos mediante el protocolo de privacidad. La firma detectó transferencias estructuradas que impulsaron ( ETH) a través de una secuencia de direcciones antes de los depósitos en Tornado Cash. Dicho esto, el patrón se asemeja mucho a los métodos de lavado vistos en robos de criptomonedas a gran escala anteriores.

Movimientos entre cadenas y transferencias en lotes estructurados

La investigación encontró que una parte sustancial de Bitcoin (BTC) robado fue primero puenteada a Ethereum y luego convertida en ETH. CertiK destacó una dirección receptora que acumuló 19,600 ETH tras esta operación de puente entre cadenas. Sin embargo, estos fondos fueron rápidamente fragmentados en tramos más pequeños, luego movidos nuevamente, antes de ser enviados a Tornado Cash.

La cifra de $63 millones refleja solo una parte del valor total robado, pero ilustra el diseño metódico de la operación. Los analistas observaron transferencias en lotes repetidas, deliberadamente planificadas para reducir la vigilancia en la cadena y alargar la cadena de lavado. Además, el uso constante y por fases de Tornado Cash enfatizó la intención sostenida del atacante de complicar cualquier rastreo de la brecha en la billetera cripto.

Los especialistas señalaron que estos patrones de lavado mediante transferencias en lotes son cada vez más comunes en robos sofisticados. El atacante movió repetidamente fondos a través de nuevas direcciones y cadenas, usando intervalos de tiempo y cantidades variadas para evitar agrupaciones evidentes. En consecuencia, cada salto adicional antes del mezclador debilitó aún más la atribución directa a la billetera hackeada original.

Limitaciones del rastreo una vez que los fondos llegan a Tornado Cash

Los equipos de seguridad en cripto destacaron que los depósitos en Tornado Cash reducen drásticamente las posibilidades de recuperación de fondos una vez que los ciclos de mezcla se completan. Los mezcladores rompen los vínculos visibles entre las direcciones de envío y recepción, socavando las analíticas convencionales en la cadena. Asimismo, rastrear el conjunto completo de salidas se vuelve mucho más difícil después de que los fondos abandonan la pool.

El incidente del 10 de enero siguió el mismo patrón, con saltos adicionales en las billeteras ejecutados poco antes de cada depósito en el mezclador. Los investigadores confirmaron que estos saltos de último minuto crearon una distancia adicional desde la billetera fuente. Además, el momento en que los fondos cruzaron a Tornado Cash marcó una barrera decisiva para la mayoría de los esfuerzos de seguimiento posteriores.

Las firmas de seguridad también reportaron opciones de mitigación muy limitadas después de que los pasos de lavado en Tornado Cash comenzaran. Algunas plataformas centralizadas lograron marcar y congelar pequeños fragmentos que tocaban sus servicios. Sin embargo, esas bloqueos cubrieron solo una fracción menor del volumen total, y la mayoría de los activos se movieron fuera del alcance en las primeras etapas del mezclador.

Ataque de ingeniería social que provocó la compromisión total de la billetera

Las investigaciones sobre la brecha revelaron que la operación comenzó con una compromisión de billetera mediante ingeniería social dirigida. El atacante se hizo pasar por personal de soporte legítimo y convenció a la víctima de revelar una frase semilla crítica que aseguraba el acceso a la billetera. Como resultado, el intruso obtuvo control directo sobre reservas significativas de Bitcoin y Litecoin (LTC) en la cuenta comprometida.

La billetera contenía más de 1,459 BTC y más de 2 millones de LTC antes del robo, según la reconstrucción de CertiK. Partes de estos fondos fueron convertidas en otros activos digitales durante las fases iniciales del proceso de lavado. Además, se movieron secciones de los fondos a través de varias redes, empleando tácticas de lavado entre cadenas antes de las transferencias finales al mezclador Tornado Cash.

Los analistas de seguridad continúan monitoreando los movimientos recientes de cualquier dirección vinculada a la brecha, aunque ahora anticipan solo avances incrementales. El uso repetido del protocolo Tornado Cash subraya un plan deliberado para borrar las trazas de las transacciones y explotar el diseño del mezclador. En general, el caso ilustra cómo la ingeniería social coordinada, las transferencias entre cadenas y los depósitos en mezcladores pueden limitar severamente las perspectivas de recuperación en robos importantes de cripto.