En lo que parece ser una de las primeras violaciones de seguridad importantes del 2019, el exchange de activos digitales con sede en Nueva Zelanda, Cryptopia, fue presuntamente hackeado esta semana. La plataforma informó sobre el incidente a través de Twitter el 15 de enero, mencionando "pérdidas significativas". Si bien el incidente fue confirmado por la policía local, muchos detalles cruciales —incluidos la cantidad y los títulos de tokens robados— siguen sin revelarse.
Puede interesarte: Bolsa de NZ Cryptopia informa hackeo que tuvo "pérdidas significativas"
Breve introducción a Cryptopia, un exchange esencial para las altcoins
Cryptopia Limited, la compañía detrás del exchange homónimo, se registró en julio del 2014, y la plataforma se lanzó más tarde ese mismo año. Está dirigido por los fundadores Rob Dawson y Adam Clark, quienes inicialmente comenzaron como un pasatiempo nacido de experiencias negativas con otros exchanges de criptomonedas. Alrededor de enero del 2017, presuntamente renunciaron a sus trabajos de tiempo completo para centrarse únicamente en Cryptopia. La oficina de la firma está ubicada en Christchurch, Canterbury, y hay alrededor de 50-100 personas empleadas allí.
Según el Registro de Empresas del Gobierno de Nueva Zelanda, Cryptopia tiene un total de 90 accionistas. La mayoría de las acciones están controladas por Dawson y Clark, que poseen un 30,57 por ciento y un 27,46 por ciento, respectivamente. Una parte sustancial de las acciones —25,52 por ciento— también está en manos de los servicios locales de desarrollo de software y consultoría llamados Intranel, mientras que el resto de las acciones parecen estar controladas por los familiares de los cofundadores y los inversores privados.
Según el perfil de Cryptopia en LinkedIn, la compañía tiene "la mayor variedad de criptomonedas del mundo". De hecho, el exchange tiene más de 830 criptomonedas en la lista, según CoinMarketCap, que lo convierte en una de las plataformas principales para el comercio de altcoins.
Los datos obtenidos de Coingecko sugieren que el volumen de operaciones pico de Cryptopia este año ocurrió el 11 de enero, cuando alcanzó alrededor de USD 1.875.000. El exchange de criptomonedas, según se informa, tiene aproximadamente 1,4 millones de usuarios registrados y es el mayor exchange en el país. En mayo del 2017, Cryptopia lanzó NZed (NZDT), supuestamente la primera stablecoin vinculada al dólar de Nueva Zelanda.
No dejes de leer: CEO Changpeng Zhao: Binance congela “algunos” tokens robados de Cryptopia
El incidente fue reportado originalmente como "mantenimiento no programado"; la policia está en el caso
El episodio se remonta al 14 de enero, cuando Cryptopia publicó una serie de tuits cortos sobre "mantenimiento no programado". Curiosamente, la plataforma publicó actualizaciones algo similares en junio del 2018, lo que causó preocupación entre los usuarios, quienes luego informaron dificultades en el retiro.
Sin embargo, al día siguiente, el 15 de enero, Cryptopia anunció oficialmente que fue hackeado el día anterior. De acuerdo con la nota compartida por la plataforma, luego de conocer la brecha de seguridad, el personal del exchange bloqueó todas las operaciones para evaluar los daños.
Según se informa, el exchange también notificó a las agencias y autoridades gubernamentales, incluida la Policía de Nueva Zelanda y la Unidad de Delitos de Alta Tecnología, que abrieron una investigación sobre el asunto y, según informes, están tratando el incidente como un delito grave. El 16 de enero, la policía confirmó que están investigando el caso.
Más noticias sobre este tema: Exchange de NZ, Cryptopia, comienza tempranamente el mantenimiento previamente planeado, los usuarios reportan problemas de retiros
"La investigación todavía está en sus etapas iniciales y la policía continúa trabajando con Cryptopia para establecer qué ha sucedido y cómo".
Según el medio de comunicación local Stuff, el 16 de enero, la policía cerró la oficina de Cryptopia en Christchurch, mientras que parte del personal permaneció dentro. Más tarde, las autoridades informaron luego que el personal del exchange está cooperando completamente con el equipo de investigación, pero señalaron que los informes de los medios de comunicación que afirman que la policía "asaltó" el edificio son "totalmente incorrectos".
Además, según los informes, las autoridades están estableciendo un equipo de investigación dedicado, que incluye "personal policial especializado con experiencia en esta área". La Autoridad de Mercados Financieros (FMA) también fue llamada, según Stuff.
El portavoz de FMA citado en el artículo dijo que el organismo de control no regulaba Cryptopia o las criptomonedas listadas allí, "pero aquellos que brindan un servicio financiero relacionado con las criptomonedas necesitaban registrarse en el Registro de Proveedores de Servicios Financieros —lo que permitió a los clientes acceder a un servicio independiente de resolución de disputas—". Según el sitio web del regulador, las empresas de Nueva Zelanda que brindan un servicio financiero relacionado con las criptomonedas deben cumplir con los requisitos de "trato justo" en la Ley de Conducta de Mercados Financieros del 2013.
La cantidad robada permanece sin revelar; los medios sociales estiman que se tomaron entre USD 3 y USD 13 millones.
Si bien el sitio web de Cryptopia aún se encuentra en mantenimiento al momento de la publicación, el exchange no reveló qué tokens fueron robados y en qué medida, limitando su comentario a afirmar que las pérdidas son "significativas". La compañía ha declarado desde entonces que no harán comentarios debido a la investigación policial en curso.
Sin embargo, la policía también debe confirmar la cantidad exacta de dinero robado. Según su comunicado de prensa emitido el 16 de enero:
“La policía aún no está en posición de decir cuánta criptomoneda está involucrada, aparte de que es una cantidad significativa. Un gran equipo, incluido el CIB de Canterbury y el personal especializado de la Unidad de Crímenes de Alta Tecnología de la policía, ha sido asignado al caso".
Tanto Cryptopia cuanto las autoridades no pudieron revelar detalles concretos del presunto hackeo, la comunidad ha tomado el asunto en sus propias manos. Los usuarios de los medios sociales han identificado una de las supuestas direcciones de billetera del hacker, destacando los números de transacciones grandes, así como el momento de las transferencias, que se informó ocurrieron después de que el sitio entrara en modo de mantenimiento.
Si esto es cierto, los criminales robaron una gran cantidad de tokens ERC-20, incluyendo Dentacoin, Metal, Ormeus Coin, PowerLedger, Revain, Zap Token, TrueUSD, Centrality, InvestFeed, PILLAR, Golem, Jetcoin, Fabric Token, DALECOIN, Soniq, VOISE , SpankChain, Mothership y Oyster Pearl, entre otros.
"En esta etapa, probablemente creería informes de un hack de $ 11 [millones] + equivalente en USD", escribe el usuario de Reddit u/spronky, "No me sorprendería si todos los tokens ERC-20 en las billeteras en línea de Cryptopia fueran robadas [sic]".
Según otra investigación de Reddit, un total de USD 13.000 en criptomonedas podrían haber sido robados de Cryptopia. El usuario u/toldjahP ha recopilado numerosas direcciones de billeteras afiliadas con los supuestos hackers y ha combinado las transferencias, lo que equivale a la cifra mencionada anteriormente. Direcciones similares han sido marcadas por miembros de la comunidad de Twitter también. Si bien algunas de esas carteras parecen estar vacías en el momento de la publicación, una de ellas tiene hasta USD 3.6 millones.
Puede interesarte: Seis herramientas utilizadas por los hackers para robar criptomonedas: cómo proteger billeteras
La comunidad no se apresura a llamarlo un "hack"
La noticia del incidente se recibió con preocupación y cierto escepticismo en la criptocomunidad, cuyos miembros sugirieron que el incidente podría haber sido un "trabajo interno" o una "estafa de salida". Por ejemplo, la personalidad de la industria de Twitter, WhalePanda, colocó en forma notable la palabra "hack" entre comillas, al comentar sobre el asunto:
"Es interesante que esto ocurra en una temporada bajista en la que los pequeños exchanges luchan por llegar a fin de mes y envían mensajes agresivos a cualquier persona involucrada con proyectos criptomonetarios para hacer que paguen tarifas de listado para que aparezcan en sus plataformas".
En respuesta al tuit de WhalePanda, un par de comentaristas han ido tan lejos como para investigar las transacciones recientes de Cryptopia, afirmando que el exchange había movido Ethereum (ETH) con un valor de varios millones de dólares de su billetera el 13 de enero, citando datos del monitor de la cadena de bloques del exchange de criptomonedas Whale Alert. Eso se correlaciona con el anuncio anterior de Cryptopia con respecto a la bifurcación de Constantinopla de Ethereum (ETH), cuando el exchange advirtió a sus usuarios que colocaba ETH y todos los tokens ERC-20 en mantenimiento entre el 14 de enero y el 18 de enero. El exchange luego aconsejó a sus usuarios mover su ETH a "una billetera donde tengan el control de las claves privadas".
Algunos de los fondos han sido congelados, los usuarios de Cryptopia están preparando una demanda
Algunos de los fondos se han congelado en Cryptopia, parece que al menos algunos de los tokens robados se han congelado. El 16 de enero, luego de ser etiquetado por un miembro de la comunidad de Twitter, el CEO del exchange Binance, Changpeng Zhao, dijo que suspendió "algunos" de los fondos afiliados a Cryptopia después de que terminaran en las billeteras de su plataforma y afirmó que se congelaría más si los usuarios de las redes sociales los reportan.
Del mismo modo, otros usuarios de Twitter han publicado capturas de pantalla que sugieren que a coinexchange.io también ha sido advertido acerca de algunos de los fondos robados de Cryptopia que se comercializan en su plataforma.
En cuanto a las consecuencias legales, la situación tampoco está clara en este momento. Según los medios locales y la radio Radio NZ, hasta 40 usuarios de Cryptopia se han presentado para exigir legalmente una explicación de por qué sus fondos son inaccesibles.
"Nos contactaron inicialmente unas tres personas [el año pasado], incluido un abogado sudafricano, que se quejaba de que tenían problemas para realizar transacciones con sus billeteras y no podían retirar fondos", dijo el abogado encargado del caso a la publicación.
Más noticias sobre este tema: La policía de Nueva Zelanda confirma la investigación de un supuesto hackeo de Cryptopia de USD 3,6 millones