Un atacante de criptomonedas aparentemente tomó el control de la wallet multisig de una ballena minutos después de su creación hace 44 días y ha estado drenando y blanqueando fondos en etapas desde entonces.
En una publicación del jueves en X, la firma de seguridad de la blockchain PeckShield informó que la wallet multisig de una ballena había sido drenada de aproximadamente 27,3 millones de dólares debido a la vulneración de una clave privada. PeckShield señaló que el atacante ha blanqueado alrededor de 12,6 millones de dólares, o 4.100 Ether (ETH), a través de Tornado Cash y ha retenido alrededor de 2 millones de dólares en activos líquidos, mientras que también controla una posición larga apalancada en Aave (AAVE).
Sin embargo, nuevos hallazgos de Yehor Rudytsia, jefe forense de Hacken Extractor, indican que las pérdidas totales pueden superar los 40 millones de dólares y que el incidente probablemente comenzó mucho antes, con las primeras señales de robo que se remontan al 4 de noviembre.
Rudytsia dijo a Cointelegraph que la wallet multisig etiquetada como "comprometida" puede que nunca haya sido controlada significativamente por la víctima. Los datos on-chain muestran que la multisig fue creada por la cuenta de la víctima el 4 de noviembre a las 7:46 a.m. UTC, pero la propiedad fue transferida al atacante solo seis minutos después. "Es muy probable que el actor del robo creara esta multisig y transfiriera fondos allí para luego cambiar rápidamente el propietario a sí mismo", dijo Rudytsia.
El atacante juega a largo plazo
Una vez en control, el atacante parece haber actuado con paciencia. Realizó depósitos en Tornado Cash en lotes durante varias semanas, comenzando con 1.000 ETH el 4 de noviembre y continuando hasta mediados de diciembre en transacciones más pequeñas y escalonadas. Alrededor de 25 millones de dólares en activos también permanecen en la multisig aún controlada por el atacante, según Rudytsia.
También planteó preocupaciones sobre la estructura de la wallet. La multisig se configuró como un "1 de 1", lo que significa que solo se requería una única firma para aprobar las transacciones, "lo que conceptualmente no es una multisig", añadió Rudytsia.
Abdelfattah Ibrahim, auditor de aplicaciones descentralizadas (DApp) en Hacken, dijo que varios vectores de ataque siguen siendo posibles. Estos incluyen malware o ladrones de información en el dispositivo del firmante, ataques de phishing que engañan a los usuarios para que aprueben transacciones maliciosas, o malas prácticas de seguridad operativa como almacenar claves en texto plano o usar la misma máquina para múltiples firmantes.
"Prevenir esto implicaría aislar los dispositivos de firma como dispositivos fríos y verificar las transacciones más allá de la interfaz de usuario", dijo Ibrahim.
Modelos de IA capaces de exploits de contratos inteligentes
Como informó Cointelegraph, una investigación reciente de Anthropic y el grupo Machine Learning Alignment & Theory Scholars (MATS) encontró que los principales modelos de IA ya son capaces de desarrollar exploits de contratos inteligentes reales y rentables.
En pruebas controladas, Claude Opus 4.5 de Anthropic, Claude Sonnet 4.5 y GPT-5 de OpenAI generaron colectivamente exploits por valor de 4,6 millones de dólares, demostrando que la explotación autónoma es técnicamente factible utilizando modelos disponibles comercialmente.
En pruebas adicionales, Sonnet 4.5 y GPT-5 se desplegaron contra casi 2.850 contratos inteligentes lanzados recientemente sin vulnerabilidades conocidas. Los modelos descubrieron dos fallos de día cero previamente desconocidos y produjeron exploits por valor de 3.694 dólares, ligeramente más que el costo de la API de 3.476 dólares requerido para generarlos.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
