El hackeo a HEX 19
Una veterana inversionista en criptomonedas, conocida como “HEX 19”, perdió casi 4.5 millones de dólares en un hackeo prolongado que drenó su inversión en HEX a lo largo de varios años. Al principio, pareció que esta ballena estaba retirando su inversión, pero pronto la comunidad se dio cuenta de que no había sido una decisión voluntaria, sino que había caído en una importante explotación.
El ciberataque comenzó en noviembre de 2021 y afectó a múltiples wallets mediante técnicas de phishing, siendo rastreado hasta una entidad en línea conocida como “Konpyl”, un actor de amenaza familiar para los investigadores de criptomonedas. La brecha no solo impactó el precio del token, sino que también expuso una red de operaciones fraudulentas relacionadas con Inferno Drainer y la estafa de la wallet falsa Rabby, que robó 1.6 millones de dólares en febrero de 2024.
“Hay una exposición directa de contraparte con las wallets utilizadas en la estafa de la falsa aplicación Rabby, así como los fondos de la víctima de HEX 19 fluyendo directamente a wallets usadas para lavar los ingresos ilícitos del scam de phishing Inferno Drainer”.
El primer lote significativo de salidas de la wallet de la víctima ocurrió en noviembre de 2021 y continuó a lo largo de los años a medida que los activos bloqueados en stakes de una década comenzaron a desbloquearse, con algunos cierres prematuros realizados por el hacker con penalizaciones.
Interacciones y conexiones con el hackeo
Cuanto más investigaban los expertos en seguridad sobre las wallets relacionadas con el hackeo de HEX 19, más evidente se volvía que no era un caso aislado. Las mismas direcciones aparecieron repetidamente a través de campañas de phishing, drainers de wallets y rutas de lavado. Las wallets usadas por el hacker de HEX 19, la estafa de la wallet falsa Rabby, y varios esquemas relacionados con Inferno Drainer compartían una dirección común: Konpyl.
En una investigación realizada en octubre de 2024, Cointelegraph Magazine examinó evidencias en línea y fuera de la cadena que vinculan a Konpyl con Konstantin Pylinskiy, un ejecutivo de una firma de inversión con sede en Dubái. Pylinskiy ha negado cualquier implicación con estafas. El investigador reveló que el ataque a HEX 19 fue posible porque la víctima había guardado sus frases semilla en la nube.
“El hacker de HEX 19 sigue patrones similares a otros fraudes de Konpyl”.
Transacciones y lavado de fondos
El primer lote de fondos comenzó a trasladarse desde la wallet de la víctima el 21 de noviembre de 2021, aunque los registros de blockchain muestran que la wallet podría haber sido comprometida tan pronto como el 3 de noviembre, con una salida de fondos hacia una wallet del hacker. El 21 de noviembre, HEX 19 fue drenada de casi 4 millones de dólares en nueve transacciones separadas, mayormente en tokens HEX.
La dirección principal receptora fue 0xcfe…8A11D, que denominaremos HEX Hacker 1 (HH1). Ese mismo día, HH1 comenzó a dividir los fondos robados, enviando 2.64 millones de dólares (12.33 millones de HEX) a una segunda wallet, 0xA30…2EA17, o HEX Hacker 2 (HH2). Posteriormente, una transacción de seguimiento el 10 de diciembre de 2021 transfirió 616,700 HEX (alrededor de 86,700 dólares en ese momento) de HH1 a HH2.
La wallet HH2 parece ser central en los esfuerzos de lavado. Desde diciembre de 2021 hasta marzo de 2022, HH2 envió más de 1 millón de dólares a Tornado Cash, un conocido protocolo de anonimato de Ethereum. Además, HH2 transfirió 106,758 dólares en DAI a una wallet intermediaria que fue utilizada para relacionarse con plataformas DeFi como 1inch para oscurecer o intercambiar fondos.
Lecciones del hackeo a HEX 19
HEX 19, un veterano de la tecnología, ha vivido booms y caídas anteriormente, pero nunca había experimentado pérdidas millonarias en un solo día. Presentó informes policiales, aunque los intercambios no pudieron hacer mucho para ayudar.
“Tienes esta sensación en el estómago y piensas, ‘Oh Dios mío’. Y luego te dices, ‘Oh, Dios, tengo que decirle a mi familia que he cometido otro error'”.
Es consciente de que los hackers aún tienen acceso y solo están esperando para extraer más. Cointelegraph ha encontrado al menos 180 transacciones sospechosas desde noviembre de 2021 hasta octubre de 2024, involucrando más de 4.5 millones de dólares. La wallet de la víctima aún mantiene nueve stakes activos, aunque sus valores no son tan significativos como los que fueron cerrados prematuramente y sustraídos por los ladrones.
A pesar de la pérdida, HEX 19 mantiene una sorprendente tranquilidad:
“Estamos jubilados. Vivimos sin deudas, de forma muy sencilla. Hay más en la vida que solo dinero”.
