Robo de Criptomonedas por un Ex Buzo de las Fuerzas Armadas de Singapur
Un ex buzo de las Fuerzas Armadas de Singapur (SAF) ha admitido en la corte haber robado $1.7 millones en criptomonedas tras fotografiar secretamente una frase semilla perteneciente a un ciudadano chino residente en Singapur. Teo Rong Xuan, de 34 años, quien anteriormente sirvió en la Unidad de Buceo Naval del ejército, se declaró culpable de varios cargos, incluyendo allanamiento de morada, uso indebido de un sistema informático y manejo de ganancias ilícitas, según informó el Straits Times el 1 de octubre.
Importancia de las Frases Semilla
Las frases semilla, que suelen consistir en una secuencia de palabras aleatorias, funcionan como la llave maestra para acceder a las billeteras de criptomonedas. A diferencia de una contraseña, una frase semilla robada no puede ser restablecida, lo que significa que el acceso a los fondos se pierde de manera irrevocable una vez que ha sido comprometido. El robo de frases semilla es una de las formas más comunes en que los ladrones y hackers obtienen acceso a las billeteras de las personas. Según TRM Labs, los ataques a la infraestructura que apuntan a claves privadas y frases semilla representaron el 70% de los fondos robados el año pasado. La firma agregó que estos robos a menudo se llevan a cabo mediante malas prácticas de almacenamiento, campañas de phishing y el despliegue de malware.
Detalles del Robo
Los registros judiciales indican que Teo conoció a la víctima, un hombre de 30 años, a mediados de 2022 a través de un amigo en común. Durante una reunión de fútbol en la casa de la víctima, Teo obtuvo una tarjeta de acceso al condominio bajo el pretexto de ayudar a otro invitado, pero no devolvió la tarjeta. El 31 de diciembre de 2022, Teo aprovechó ese acceso para reingresar a la unidad de la víctima mientras esta se encontraba fuera. Encontró y fotografió un trozo de papel que contenía la frase semilla de 24 palabras para la billetera de hardware Ledger Nano X de la víctima. Al día siguiente, Teo utilizó la frase semilla para transferir $1.7 millones en la stablecoin USDT a su propia billetera.
Uso de los Fondos Robados
Los fiscales informaron que Teo gastó el dinero en relojes de lujo, apuestas en línea y pagos de hipoteca. Aproximadamente $1.1 millones fueron convertidos a dólares estadounidenses y transferidos a su cuenta bancaria. Teo admitió más tarde el crimen después de que la víctima descubriera la falta de fondos y los investigadores de blockchain vincularan el robo a su billetera. Teo alegó que fue motivado por grandes pérdidas financieras tras el colapso de la bolsa de criptomonedas FTX en 2022.
Lecciones Aprendidas
Expertos de la industria señalaron que este caso ilustra cómo el error humano y las malas prácticas de almacenamiento continúan socavando la seguridad de los activos digitales.
«Este caso es un fuerte recordatorio de que el comportamiento del usuario es tan importante como la seguridad del producto»
, afirmó Veronica Wong, CEO y cofundadora de la suite de billeteras cripto SafePal, en declaraciones a Decrypt. Ella recomendó que los tenedores a largo plazo utilicen billeteras de hardware con chipsets encriptados, mientras que los comerciantes activos podrían considerar copias de seguridad en la nube, aunque advirtió que tales métodos también introducen riesgos relacionados con la encriptación de terceros y el acceso a cuentas.
Petr Kozyakov, cofundador y CEO de la plataforma de pagos Mercuryo, añadió que el caso destaca la importancia de proteger adecuadamente una frase semilla para quienes practican la autoconservación.
«Almacenar en un lugar seguro, como una caja de seguridad bancaria, es la mejor práctica. Sin embargo, desafortunadamente no hay una solución única para mantener seguros los activos digitales»
, comentó. También sugirió que otras mejores prácticas incluyen escribir una frase semilla en un material duradero, como placas de metal a prueba de fuego, y almacenarla en múltiples ubicaciones seguras, o utilizar una billetera de firma múltiple, que requiere aprobaciones de dos o más claves privadas para autorizar cualquier transacción desde la billetera.
