La ballena, el truco y el terremoto psicológico que golpean hexadecimas

Una anciana ballena criptográfica conocida como “Hex 19” perdió casi $ 4.5 millones en un truco de movimiento lento que agotó su hexadecimal (hex) en varios años.

Al principio, parecía que una ballena hexagonal estaba cobrando. Pero no pasó mucho tiempo antes de que la comunidad se diera cuenta de que no se disipó voluntariamente sus tokens, se había convertido en una víctima de una gran explotación.

El ciberataque comenzó en noviembre de 2021, tocó múltiples billeteras de phishing y se remonta a una entidad en línea conocida como “Konpyl”, un actor de amenaza familiar para los investigadores criptográficos.

La violación no solo sacudió el precio de la ficha, sino que también expuso una red de operaciones fraudulentas vinculadas a Inferno Drainer y la estafa de billetera Rabby falsa de $ 1.6 millones de febrero de 2024.

Hackers hexadecimales y la red de conexiones

Un investigador de blockchain que habló con CointeleGraph bajo condición de anonimato dijo: “Existe la exposición directa a la contraparte con las billeteras utilizadas en la estafa de la aplicación de rabby falsa, así como los fondos de la víctima hex19 que fluyen directamente en billeteras utilizadas para lavar el lavado de infierno de infierno de los fondos”.

El primer lote importante de salidas de la billetera de la víctima ocurrió en noviembre de 2021 y ha continuado a lo largo de los años a medida que los activos se encerraron en apuestas de una década continuaron desbloqueando, algunos prematuramente cerrados por el hacker con sanciones.

Relacionado: Thorchain en la encrucijada: los enfrentamientos de descentralización con actividad ilícita

Cuanto más profundos investigadores entraron en las billeteras vinculadas al hack Hex19, más quedó claro que esto no era una persona única para el hacker. Las mismas direcciones aparecieron una y otra vez en campañas de phishing, drenadores de billeteras y senderos de lavado.

Las billeteras utilizadas por el hacker hex19, la estafa de billetera de rabby falsa y varios esquemas relacionados con el drenador de infierno comparten una dirección común: Konpyl.

En una investigación de octubre de 2024, la revista de CointeleGraph analizó la evidencia en la cadena y una agencia gubernamental de los Estados Unidos que vincula a Konpyl con Konstantin Pylinskiy, un ejecutivo de una firma de inversión con sede en Dubai que usa el apodo en sus actividades en línea. Pylinskiy ha negado cualquier participación con estafas.

El investigador dijo que el ataque a Hex19 era posible porque la víctima había almacenado sus frases de semillas en la nube. Los registros de transacciones muestran que los piratas informáticos usan fondos de víctimas para transferencias iniciales a sus cuentas ilícitas, un rasgo común de esquemas vinculados a Konpyl.

“El hacker hex19 sigue patrones similares de otras estafas de ‘Konpyl'”, dijeron.

En un informe de noviembre de 2024, Cointelegraph se enteró de que las billeteras vinculadas a Konpyl tenían una gran cantidad de interacciones con estafas conectadas a Inferno Drainer, un actor de amenaza de estafa como servicio.

Fantasy, un especialista en forense e investigaciones lideradas en la firma de seguros de Crypto Fairside Network, dijo a CointeleGraph que Konpyl posiblemente podría funcionar menos como atacante directo y más como un proxy de lavado.

Dentro del pirateo hexadecimal

El primer lote de fondos comenzó a moverse de la billetera el 21 de noviembre de 2021, pero los registros de blockchain muestran que la billetera pudo haber sido comprometida tan pronto como el 3 de noviembre, ya que la billetera víctima (0x97e … 7a7df) tuvo un flujo de una de las billeteras del hacker.

• El 21 de noviembre, HEX19 fue drenado de casi $ 4 millones en nueve transacciones separadas. La mayoría de las pérdidas fueron en tokens hexadecimales. El destino principal fue la dirección 0xcfe … 8A11d, que llamaremos Hex Hacker 1 (HH1).

• Ese mismo día, HH1 comenzó a dividir los fondos robados. Enviaron $ 2.64 millones (12.33 millones de hex) a una segunda billetera, 0xa30 … 2EA17, o Hex Hacker 2 (HH2).

• Una transacción de seguimiento el 10 de diciembre de 2021 envió otros 616,700 hexadecimales (con un valor de alrededor de $ 86,700 en ese momento) de HH1 a HH2.

• El 18 de febrero de 2022, HH1 transfirió 5.2 millones de hexadecimas (con un valor de aproximadamente $ 1 millón en ese momento) y algún éter (ETH) a otra dirección más, 0x719a … 4bd0c, donde los fondos permanecen estacionados hasta el día de hoy.

La billetera HH2 parece central para los esfuerzos de lavado.

• Desde diciembre de 2021 hasta marzo de 2022, HH2 envió más de $ 1 millón a Tornado Cash, el protocolo de anonimato más conocido de Ethereum.

• HH2 también transfirió $ 106,758 en DAI (DAI) a una billetera intermedia, 0x837 … 2BA9b, que se utilizó para interactuar con plataformas de finanzas descentralizadas (DEFI) como 1 pulgada para oscurecer o intercambiar fondos.

• El intermediario interactuó con 0x7BF … C4EAA, una billetera que recibió entradas directas de Konpyl (una persona en línea que ha aparecido en numerosas operaciones de phishing y drenaje).

• La cadena de lavado de HH2 también se cruza con una billetera de alto riesgo-0x909 … E4371-marcada para más de 70 transacciones sospechosas.

• El 16 de mayo de 2024, una tercera billetera, Hex Hacker (HH3) – 0xdce … 4F0D8 – comenzó a retirar fondos de la dirección HEX19 comprometida.

• HH3 ha recibido alrededor de $ 108,000 en hexadecimal de la cuenta de la víctima.

• HH3 conectado a 0x87b … 53d92, un cointelegráfico de dirección previamente identificado en una investigación de noviembre como parte de una estafa vinculada al drenador de infierno. Esa misma billetera comparte una dirección mezcladora (0xf2f … 6A608) con Konpyl, que conecta una estafa de marzo de 2024 y el incidente de phishing de la billetera Rabby.

Finalmente, una cuarta billetera, 0x7cc … 59EE2 – Hex Hacker 4 (HH4) – entró en la imagen. A partir del 12 de enero de 2024, HH4 comenzó a desviar fondos desde la billetera Hex19 hasta marzo.

Relacionado: De Sony a Bybit: Cómo Lázaro Group se convirtió en el supervillano de Crypto

Esta billetera interactuó con 0x4e9 … C71C2, que es una dirección conocida utilizada por el falso estafador de billetera de rabby.

Lecciones del pirateo hex19

HEX19, el veterano de tecnología retirado, ha pasado por auges y bustos antes, pero no los que vaciaron millones de dólares de su billetera digital en un solo día.

Presentó informes policiales, y los intercambios no pudieron hacer mucho para ayudar, dijo. Los fondos estados restantes, incluidos los bloqueos hexadecimales de 10 años, se convirtieron en bombas de tiempo. Sabía que los piratas informáticos tenían acceso y estaban esperando extraer más.

Cointelegraph ha encontrado al menos 180 transacciones sospechosas de noviembre de 2021 a octubre de 2024, por un total de más de $ 4.5 millones. La billetera de la víctima todavía tiene nueve apuestas activas restantes, aunque sus valores no son tan significativos como los cerrados y retirados prematuramente por los ladrones.

“Tienes esta sensación en el pozo de tu estómago y dices: ‘Oh, Dios mío’. Y luego dices: “Oh, caramba, tengo que decirle a mi familia que he vuelto a arruinar”, dijo Hex19, supuestamente un jubilado en sus 80 años, dijo en una entrevista con la miembro de la comunidad Hex Mati Allin poco después de la exploit. Cointelegraph intentó ponerse en contacto con Hex19 pero no recibió una respuesta.

A pesar de la pérdida, HEX19 mantiene una sorprendente sensación de calma: “Estamos retirados. Vivimos sin deudas. Vivimos muy simplemente. Tenemos una gran familia, hijas increíbles, nietas”, dijo en la entrevista comunitaria de 2021. “Hay más en la vida que el dinero”.

Si bien no espera recuperar los fondos, espera que su experiencia ayude a otros a pensar dos veces antes de almacenar sus frases de semillas en línea.

Revista: El nihilismo financiero en criptografía ha terminado, es hora de soñar en grande nuevamente