🏴☠️ 2016: The Bitfinex Hack 🏴☠️
¿Quienes eran Ilya Lichtenstein y Heather Morgan?
Es Agosto de 2016, en la radio está sonando ahora mismo This Is What You Came For de Rihanna y Calvin Harris, y Justin Timberlake está reventando altavoces con Can’t Stop The Feeling.
En el cine aún estábamos flipando con la primera película de Jason Bourne, y aquí te dejo el trailer:
Eran trending topic Michael Phelps, Simone Biles y Usain Bolt ya que se estaban disputando los JJOO de Rio 2016. Un verano normal.
Sin embargo en una pequeña oficina de Hong Kong todo estaba por darse la vuelta. En las oficinas de Bitfinex el 2 de Agosto de 2016 no iba a ser un día como otro cualquiera.
Les iban a robar nada más y nada menos que 119.754 bitcoins. En este momento eran $72 millones de dólares. Hoy son muchos más. Pero….¿Cómo? Te lo cuento.
El método
Bitfinex utiliza un sistema de almacenamiento multi-firma en colaboración con BitGo, una empresa de seguridad de criptomonedas. Este sistema requería múltiples claves para autorizar transacciones, lo que supuestamente ofrecía mayor seguridad.
Supuestamente.
Los hackers lograron comprometer tanto las claves de Bitfinex como las de BitGo. Este acceso dual les permitió aprobar y ejecutar transacciones de retiro desde las billeteras protegidas por el sistema multi-firma. Al parecer consiguieron las claves de Bitfinex y se saltaron la aprobación necesaria de BitGo, que tampoco detectó estas transacciones no autorizadas. No está muy claro la verdad.
El ataque afectó a las “hot wallets” que los usuarios tenían disponible de forma inmediata para mover. Al contrario de lo que pensamos un Exchange no tiene “todo disponible” sino que va añadiendo a ese fondo de maniobra o retirando de este fondo conforme a las necesidades que espera de retiradas o los ingresos que recibe. Se hicieron 2.072 transacciones a una única wallet controlada por los hackers.
¿2.072 transacciones? Fue parte del plan: Se fragmentaron los retiros en transacciones más pequeñas para evitar alertar los sistemas de seguridad. Para el sistema eran transacciones legítimas y autorizadas.
La acción
Aunque todo parece normal durante el día del robo, hay cosas que no terminan de cuadrar. Por ejemplo un volumen muy alto de transacciones en un corto período de tiempo levantó sospechas. Además hay discrepancias entre los balances reales de bitcoin y los contenidos en las wallets.
🚨 Bitfinex está siendo robado 🚨 .
De forma inmediata Bitfinex detiene todas las operaciones.
Una reunión de urgencia y una decisión controvertida es tomada los días posteriores: Se socializan la pérdidas, todos los usuarios, incluso aquellos que no han sido afectados por el robo sufren una reducción de sus activos de un 36%. Es decir, aunque no tuvieras bitcoin tienes un 36% menos de todo lo que tuvieras.
¿La contraprestación a esta decisión? Nada sencilla:
Se emite el token BFX que vale $1.
Cada usuario recibe tantos tokens BFX como dólares ha perdido en la socialización de las pérdidas.
Los usuarios pueden esperar la recompra por parte de Bitfinex o convertirlos en acciones de iFinex Inc., la compañía matriz de Bitfinex.
Spoiler: Menos de un año después del robo todos los tokens BFX habían sido comprados por la compañía, y quemados. Como curiosidad aquí tienes el FAQ del token BFX para los clientes.
Pero antes, demos un salto hacia atrás en el tiempo.
Conozcamos a Ilya Lichtenstein de nacionalidad rusa, emigrado a los Estados Unidos siendo joven. Se le conoce por ser un emprendedor tecnológico y defensor de de las criptomonedas.
Y a Heather Morgan, rapera aficionada, escritora y consultora de negocios. Publicaba artículos en plataformas como Forbes, donde daba consejos sobre ciberseguridad y emprendimiento.
Se estima que se conocieron entre 2013 y 2014, probablemente por vínculos e intereses comunes. Antes o después de ello comenzaron a involucrarse en foros y comunidades relacionadas con hacking y seguridad cibernética.
En 2014 Heather funda una empresa llamada SalesFolk, una empresa centrada en diseño de campañas de mailing, optimización de tasas de apertura y respuesta de ventas y entrenamiento y consultoría de ventas.
En 2017 en una presentación que estaba realizando sobre su compañía anuncia que su compañía ha generado $64.7 millones durante 2016. Esto es a la vez curioso y raro, por un lado la cifra se parece mucho a los millones robados a Bitfinex. Por el otro lado es sorprendente que una empresa con cinco empleados y salarios mediocres haya sido capaz de generar ese volumen de ventas.
El 13 de Noviembre de 2021 Heather e Ilya se casan. Ese día por primera vez son conscientes de que están siendo investigados por la policía.
El 8 de Febrero de 2022, apenas tres meses después de la boda, son detenidos en su apartamento de Manhattan. Se encuentran Hardware Wallets, documentos vinculados al hackeo, semillas varias y se recuperan 94.000 bitcoins además de dinero en efectivo.
Ambos fueron acusados de conspiración para lavar dinero y fraude, aunque no se les acusó directamente del hackeo original.
¿Qué pasó entre el 2 de Agosto de 2016 y el 8 de Febrero de 2022?
Parémonos primero a pensar en la magnitud del robo. Valor de los activos robados cada 6 meses, desde el día del robo hasta la detención:
Ilya y Heather tenían problemas muy grandes. Cuando un criminal ejecuta un robo lo mejor es blanquear ese dinero y rápido. Es la razón por la que se compran billetes de lotería premiados, por ejemplo.
Y ese problema se hace cada vez más grande cuando lo que tienen que blanquear crece a más ritmo de lo que ellos pueden gastar. Y los fondos robados valía el día de su boda 73 veces más que el día que lo robaron.
Por otra parte cuando más sube el valor de bitcoin más interés ponen las fuerzas del estado en localizar a los hackers. Y no los están buscando unos cualquiera:
FBI - Federal Bureau of Investigation.
IRS-CI - Internal Revenue Service - Criminal Investigation
HSI - Homeland Security Investigations.
Hablando de las cantidades que hablamos, el proceso de lavado de dinero no era sencillo. Y cada vez se hace menos sencillo.
El lavado de dinero 🧼
Los fondos fueron transferidos desde la wallet de Bitfinex a la wallet de los hackers. Se hicieron, como hemos comentado en algo más de 2000 transacciones para evitar ser detectados. Cosa curiosa: La mayoría de los fondos nunca abandonaron esa wallet, seis años más tarde, en febrero de 2022 aún no se habían movido.
En enero de 2017 una gran parte de los fondos se movió a Alphabay, una especie de Silkroad, alojado en la darknet, dónde depositan bitcoins a través de mixers como Tornado Cash, y retiran la cantidad equivalente supuestamente blanco (pero sin vincularlo a ellos). Algunos fondos son enviados desde la wallet inicial, otros fondos pasan por wallets intermedias.
Los fondos desde Alphabay se pasan a Exchanges, en los cuales Lichtenstein y Morgan se han registrado con datos falsos. Crean varias cuentas en los mismos Exchanges. Si son capaces de saltar los filtros de darse de alta con documentos falsos van a aprovechar para tener varias cuentas, pero eventualmente sus cuentas sufren limitaciones, solicitudes de información y ante la imposibilidad de demostrar la fuente de los fondos sus cuentas son bloqueadas.
Pasan los años y Alphabay es cerrado (2019), por lo que tienen que pasar a usar otro mixer, y a otros Exchanges dónde intercambian bitcoin por otras criptomonedas, compran metales preciosos. Cada cierto tiempo los Exchanges, por el volumen les piden explicaciones. Intentan dar explicaciones y es tal la presión ejercida que incluso montan una empresa fantasma supuestamente dedicada a servicios de publicidad donde reciben pagos en criptomonedas.
En 2020 y 2021 fueron capaces de convertir los fondos en dólares e incluso mover a cuentas bancarias estadounidenses. Compran tarjetas de regalo, con criptomonedas y dólares, y con esas tarjetas compran cualquier cosa que envían a su domicilio.
Y ese fue parte del problema.
La pillada 🧱
Las tarjetas regalo puedes comprarlas fácilmente. Pero es el uso de esa tarjeta lo que supone el problema: Tienes que enviar lo que compras a algún sitio.
Los investigadores descubren que una wallet que ha recibido 1 millón de dólares de la wallet inicial ha comprado una tarjeta regalo de Wallmart que fue usada en un móvil propiedad de Heather Morgan. Eso permite que un juez apruebe una orden de registro de ciertos aspectos personales de Lichtenstein y Morgan. Ahí se encuentran datos que confirman identidades falsas, wallets y planes para comprar pasaportes falsos.
El mundo no es suficientemente grande cuando quieres limpiar $5.283.366.311,30.
El arresto 🔏
El 8 de Febrero de 2022 agentes del FBI arrestan a Lichtenstein y Morgan acusados del lavado de dinero procedente del hackeo de Bitfinex.
Durante la detención confiscan Hardware Wallets, ordenadores, móviles, otros artículos de lujo y bitcoins por valor de $4.500.000.0000, los cuales son transferidos desde la primera wallet receptora de los fondos del hackeo a uno bajo el control del FBI.
Morgan llevaba una vida pública como empresaria, influencer y rapera. Usaba el alias Razzlekhan, autodenominándose "la Crocodilo de Wall Street". Gracias a su detención cobra fama.
Adicionalmente a eso crea contenido sobre "ciberseguridad" e innovación empresarial, lo que resulta irónico dado el crimen por el que fue arrestada.
Meses más tarde de la detención se recuperaron unos 12.267 bitcoins y meses después otros 1.155 bitcoins. Un año más tarde aproximadamente aún se encontraron 2 bitcoins más vinculados al hackeo inicial.
¿Cómo ha quedado la historia?
Ilya Lichtenstein: Fue condenado a 5 años de prisión y 3 años de libertad supervisada. Aunque la sentencia puede parecer indulgente considerando la magnitud del delito, su cooperación con las autoridades en otros casos relacionados con criptomonedas. Su pena fue tal ya que fue declarado responsable del robo.
Heather Morgan: Sentenciada a 18 meses de prisión, ya que alegó haber comenzado a ayudar en el lavado de fondos bajo las instrucciones de su esposo en 2020. Morgan, conocida también como la rapera “Razzlekhan”, tuvo un papel menos activo en el hackeo pero contribuyó a ocultar los fondos robados mediante técnicas sofisticadas como el uso de mezcladores de criptomonedas y la compra de oro y NFT
Pero hay más….¿Qué hacemos con los fondos recuperados? 💰
Si has sacado la calculadora verás que aproximadamente se recuperaron un 79% de los bitcoins robados.
Pero si hablamos de valor en dólares lo recuperado es hoy unas 166 veces más valioso hoy que cuando se recuperó. Es decir, un 79% de lo robado valía 166 veces más que el día del robo.
Lo que pasa es que es que Bitfinex ya había compensado a los usuarios pero estos, a la vista de la recuperación de los fondos y el valor de los mismos han indicado que la compensación no sería suficiente y aún no se les ha compensado por el aumento significativo en el valor del Bitcoin desde 2016, lo que crea un conflicto sobre quién debería beneficiarse de la restitución.
En el punto actual un tribunal en Washington D.C. ha permitido que los usuarios de Bitfinex presenten sus argumentos para reclamar una parte de los fondos recuperados. Un juicio adicional decidirá cómo se distribuirán los bitcoins recuperados entre Bitfinex y los posibles afectados. Por ahora no hay más noticias.
¿En qué acabará la historia?
Lo primero, ¿Qué canción te has puesto?
Lo segundo, ¿Qué opinas del robo?
Mi opinión:
La blockchain pone serias trabas a la ejecución y terminación de un robo. Los rastros son eternos y hay una dicotomía, a más fondos robados podríamos tener más medios para ocultar y limpiar nuestro rastro, pero mayor es el incentivo de las fuerzas del estado para localizar los culpables.
El caso de Lichtenstein y Morgan demuestra cómo los rastros digitales pueden atrapar incluso a criminales tecnológicamente sofisticados. Su detención fue celebrada como un logro significativo contra el lavado de criptomonedas y los crímenes cibernéticos.
Por hoy acabamos.
Extra ball: Documental en Netflix.
Extra ball: Video de Lord Draugr.
Muy interesante como siempre!!
w0w
Vaya cotillón te has currado amigo!! Recuerdo que fue trending en el 21 jajaja
Pero no recordaba tanto detallee!! :D
Mis dieses!!!