Después de una semana de investigación, parece que se ha encontrado al culpable de al menos dos de las transacciones sospechosas de Ether (ETH) que tenían una enorme tarifa por transacción.

Según lo informado el 16 de junio por la empresa china de análisis de blockchain PeckShield, la dirección de origen parece provenir de la plataforma coreana GoodCycle, un exchange peer-to-peer (P2P) recientemente lanzado que "ofrece oportunidades de inversión" para sus usuarios.

Según PeckShield, esta plataforma muestra todos los signos de un esquema Ponzi, lo que explicaría su rápido aumento de popularidad.

Los analistas realizaron un estudio exhaustivo de la cadena de bloques y descubrieron que una billetera que comenzaba con "0xcdd6a2b" fue la fuente de las dos primeras transacciones. El equipo pudo hacer un depósito en la plataforma GoodCycle y demostró de manera concluyente que fue a esa dirección.

La teoría de ransomware es la más probable

Los analistas argumentan que, debido al hecho de que GoodCycle se basa en un esquema piramidal, tiene sentido de por qué no avanzó para reclamar el dinero, ya que afectaría la confianza de sus usuarios en la plataforma y, posteriormente, derribaría la empresa.

Jeff Liu, cofundador de PeckShield, le dijo a Cointelegraph que GoodCycle podría haber sido víctima de un ataque, aunque agregó que "todavía hay otras posibilidades, como errores operativos internos".

El informe de PeckShield señala que el exchange no utiliza el protocolo HTTPS encriptado, lo que haría trivial piratear su página mediante un ataque de intermediario (en inglés Man-in-the-Middle Attack, MITM).

Una comunicación del propio GoodCycle parece confirmar que la plataforma está siendo pirateada, bloqueando posteriormente los retiros y realizando una "actualización de seguridad".

Announcement from GoodCycle

Anuncio de GoodCycle. Source: PeckShield

La víctima contactó a las pools de minería

Dos transacciones enviadas hoy a SparkPool y Ethermine desde una billetera identificada como GoodCycle's están firmadas con un mensaje que dice "Yo soy el remitente".

Parece probable que el equipo finalmente recuperó el control, ya que es poco probable que los piratas informáticos pudieran realizar la transacción.

Cuando se le preguntó a Liu por qué el exchange no cerró más rápidamente, lo cual fue una de las críticas a la teoría del chantaje, respondió: 

"En mi opinión, no tienen mucha experiencia y puede que necesiten de ayuda profesional para lidiar con estos problemas operativos".

Sin embargo, Ethermine ya ha decidido distribuir los fondos a los mineros, mientras que SparkPool se ha comprometido a comenzar el proceso hoy también.

La conexión con PlusToken

El investigador anónimo Frank Topbottom pudo identificar que varias direcciones conectadas al gran esquema Ponzi de PlusToken habían interactuado con la dirección asociada más tarde con GoodCycle. Específicamente, los fondos conocidos de PlusToken enviaron ETH a la misma dirección de depósito utilizada para algunas transacciones en GoodCycle.

No está claro si la asociación es más profunda. Es posible que GoodCycle fuera simplemente otro lugar utilizado por los estafadores para lavar su dinero.

Sigue leyendo: