Una vez un intercambiador predilecto para hackers y estafadores, eXch fue cerrado por la policía alemana en abril, pero la actividad continuada sugiere que la historia no ha terminado.
Sin verificaciones de Conozca a Su Cliente (KYC), eXch no era un exchange de criptomonedas típico. Funcionaba más como un intercambiador instantáneo, permitiendo a actores maliciosos y cibercriminales pasar desapercibidos durante años.
Entre sus clientes estaba el Grupo Lazarus. La unidad de hacking respaldada por el estado norcoreano puso a eXch en el centro de atención en febrero, cuando utilizó la plataforma para canalizar parte de los 1.400 millones de dólares robados de Bybit. Cuando Bybit rastreó sus fondos robados hasta eXch, solicitó asistencia, pero la plataforma se negó.
Esto llevó a un acalorado debate sobre privacidad versus seguridad, pero finalmente, eXch anunció que cerraría sus puertas el 17 de abril; el 30 de abril, las autoridades alemanas lo hicieron oficial.
Pero según la firma de seguridad TRM Labs, la plataforma podría haber continuado operando en modo sigiloso tras el cierre. Aquí está el ascenso, la caída y la vida después de la supuesta lavandería de criptomonedas eXch.
eXch cierra la puerta principal, pero deja la trasera abierta
Junto con su anuncio de cierre, eXch publicó un mensaje afirmando que no facilitaría fondos criminales. El mensaje fue eliminado en cuestión de horas, y las operaciones se reanudaron silenciosamente, señales de un desacuerdo interno o tal vez un intento calculado de reducir la visibilidad, según TRM.
Las autoridades alemanas confiscaron los servidores de eXch y decomisaron 34 millones de euros (38 millones de dólares) en criptomonedas, junto con más de ocho terabytes de datos, desmantelando efectivamente su infraestructura de cara al público.
“Al igual que vimos con Garantex renombrándose como Grinex, eXch no murió completamente tras el cierre. Silenciosamente siguió atendiendo a un puñado de socios a través de API, lo que significó que la actividad de lavado continuó incluso después del cierre público,” dijo Jeremiah O’Connor, cofundador y director de tecnología de la firma de seguridad Trugard.
O’Connor añadió que no es raro que tales plataformas sirvan a clientes leales incluso después de decomisos.
“Las personas detrás de eXch.ch aprovecharon al máximo operar en múltiples países. El dominio estaba registrado a través de un proveedor con sede en el Reino Unido, listaba a Suiza como ubicación administrativa, alojaba infraestructura en Francia y tenía servidores confiscados en Alemania,” dijo O’Connor.
Aún no está claro si eXch desactivará su API o regresará bajo un nuevo nombre. TRM dijo en una publicación de blog del 2 de mayo que el acceso restante al backend de la plataforma continuó proporcionando infraestructura de anonimización para actores de amenaza.
Sin KYC, la liquidez agrupada atrae fondos ilícitos a eXch
Los orígenes de eXch se remontan a 2014, según “Fantasy,” investigador principal de la firma de seguros criptográficos Fairside Network. En una investigación de octubre de 2024, Fantasy identificó la primera aparición pública de la plataforma como una cuenta en el foro BitcoinTalk que promocionaba intercambios automáticos entre Bitcoin (BTC), Perfect Money y vales de BTC-e, métodos de pago comúnmente asociados con transacciones de alto riesgo.
Fantasy también rastreó la billetera de Bitcoin original vinculada a eXch y encontró que probablemente fue financiada a través de BTC-e, el exchange de criptomonedas ahora desaparecido cerrado por las autoridades estadounidenses en 2017 por su papel en el lavado de fondos criminales.
La investigación forense de Fantasy encontró que la forma modernizada de eXch surgió en 2022, cuando su billetera caliente de Ethereum fue financiada por primera vez. Poco después, se convirtió en un centro para destacados estafadores criptográficos.
Monkey Drainer, el primer operador conocido de drenaje como servicio a gran escala, usó eXch antes de su retiro. Otros proveedores de servicios de drenaje como Pink Drainer y Inferno Drainer también pasaron fondos a través de la plataforma, junto con varios explotadores importantes.
eXch no requería verificación de identidad, permitiendo a los usuarios mover fondos con anonimato. Eso lo convirtió en una herramienta atractiva para los cibercriminales que buscaban limpiar activos robados.
“eXch logró mantenerse activo durante años, a pesar de facilitar actividades ilícitas obvias, porque todavía hay una gran brecha entre lo que los reguladores ‘pueden’ hacer y la rapidez con la que se mueve la tecnología,” dijo Amit Levin, exinvestigador de Binance, a Cointelegraph.
“En el mundo actual, cualquiera puede lanzar un contrato inteligente o ejecutar un servicio criptográfico desde cualquier lugar, a menudo sin revelar quiénes son. Y si no hay registro, no hay KYC y nadie a quien responsabilizar, la aplicación se vuelve casi imposible.”
La plataforma también generó confianza entre los actores de amenaza al usar un sistema de liquidez agrupada que mezclaba depósitos y retiros de usuarios, dificultando a los investigadores y las fuerzas del orden rastrear el flujo de fondos.
Cuando eXch sabía y no hizo nada
eXch negó lavar fondos para hackers criptográficos norcoreanos, y en su notificación de cierre, enmarcó el proyecto como un intento de entusiastas de la privacidad para “restaurar el equilibrio” en la industria. Criticó la aplicación de la lucha contra el lavado de dinero y condenó a las empresas que ofrecen API de puntuación de riesgo de direcciones como “parásitos” que se benefician del miedo del gobierno.
“Los proveedores de servicios en el espacio criptográfico, en su mayor parte, no están descentralizados; es decir, retienen el control o el acceso a los activos de los clientes, como se demostró en el caso de eXch,” dijo Gal Arad Cohen, socio de S. Horowitz & Co, a Cointelegraph.
“Un intermediario financiero que opera en el sector criptográfico enfrenta riesgos similares a los de los proveedores de servicios financieros tradicionales y, por lo tanto, debería estar sujeto a estándares y requisitos regulatorios equivalentes,” dijo.
El cierre de eXch es una “gran victoria” para las criptomonedas, según Alex Katz, CEO de la firma de seguridad Kerberus. Sin embargo, Katz advirtió que los actores maliciosos pueden migrar a proyectos alternativos, como THORChain, que recibió un reconocimiento en el manifiesto de despedida sin disculpas de eXch.
En el hackeo de Bybit, el protocolo de intercambio descentralizado THORChain fue utilizado como el puente principal para intercambiar alrededor de 500.000 Ether (ETH) a Bitcoin.
eXch afirmó que sus socios retendrían acceso a su API por un tiempo limitado, pero las operaciones futuras dependerían del “nuevo equipo de gestión.” El equipo anterior recomendó establecer nuevos fondos de liquidez para mantener una funcionalidad sin problemas y dijo que proporcionaría consultas.
Se despidió con un mensaje desafiante: “La privacidad no es un crimen.”
Las autoridades alemanas informaron que 1.900 millones de dólares en criptomonedas fluyeron hacia eXch desde su inicio. Sus operadores son sospechosos de lavado de dinero comercial y de operar una plataforma de comercio criminal.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
