Cómo los hackers robaron 1000 millones de rublos de una bolsa rusa de criptomonedas en cinco minutos
Los hackers retiraron más de 1000 millones de rublos (aproximadamente 14 millones de dólares) de la bolsa Grinex en tan solo cinco minutos, mediante un esquema sofisticado que implicaba servicios descentralizados y fragmentación de fondos. Este no fue un ataque aleatorio: se trató de una operación premeditada que revela hasta qué punto incluso plataformas importantes pueden resultar vulnerables si se descuidan prácticas básicas de seguridad.
Cómo se desarrolló el ataque: tres pasos para hacer desaparecer mil millones de dólares
La plataforma AML CoinKit reconstruyó la secuencia de eventos. Todo comenzó con el retiro simultáneo de stablecoins USDT desde 54 billeteras: 48 en la red TRON (TRC-20) y 5 en Ethereum (ERC-20). Estos fondos llegaron casi al instante a dos direcciones de TRON: TQdCoD5XeZwpTkGvECax5URgtnGYSCsErs y TXWExsfktiLjq1dJQg7My2NzqfbUfmgP2D.
A continuación, los atacantes hicieron algo que complica notablemente las investigaciones: convirtieron los USDT en la criptomoneda nativa de TRON, TRX, mediante el protocolo descentralizado SUN.io (parte del ecosistema SunSwap). Esto equivale a que un ladrón robe dólares y los cambie al instante por euros en un puesto no regulado: sin dejar rastro documental.
El paso final: todos los TRX fueron consolidados en una única dirección: TH9kgjfrKeTNeyXtDKvxCXZ1dVKr7neKVa. Esta billetera ya está bajo monitoreo activo por parte de analistas, pero recuperar los fondos sin la cooperación de las autoridades y expertos en forense blockchain es prácticamente imposible.
Por qué esto no fue una brecha «típica»
Normalmente, los hackers actúan de forma caótica: agarran y huyen. En este caso, hubo un plan preciso:
- Retiros masivos desde decenas de direcciones de forma simultánea, para superar los tiempos de respuesta de los sistemas de seguridad.
- Conversión de tipo de activo mediante un DEX (exchange descentralizado), para dificultar el rastreo de las transacciones.
- Consolidación en una sola billetera, para su posterior extracción o conversión a efectivo.
«Esto no es un hackeo rutinario: es una operación coordinada y premeditada», subrayó Vitaly Gorbenko, CEO de CoinKit. Señaló que el alto grado de automatización refleja una preparación avanzada por parte de los atacantes.
Curiosamente, Grinex no fue la única víctima. TokenSpot perdió aproximadamente 5000 dólares, y esos fondos también terminaron en la misma dirección final. Esto sugiere que los atacantes probaron su metodología o aplicaron el mismo vector de ataque en múltiples plataformas.
Hechos clave
- Monto perdido: unos 1000 millones de rublos (14 millones de dólares), principalmente en USDT.
- Método: fragmentación → conversión mediante DEX → consolidación.
- Redes involucradas: principalmente TRON, con actividad parcial en Ethereum.
- Sospechosos: no hay evidencia que apunte a actores estatales; lo más probable es que se trate de un grupo criminal.
- Estado de la billetera: ya marcada en sistemas AML; todas las transacciones asociadas están siendo monitoreadas activamente.
Qué significa esto para los usuarios comunes
Si guarda criptomonedas en una bolsa —especialmente una poco conocida o regional— sus activos podrían estar en riesgo. Incluso las «billeteras calientes» (aquellas que permiten retiros rápidos) requieren protección multicapa. Los hackers actuales no se limitan a descifrar contraseñas: despliegan complejos esquemas financieros que recuerdan las tomas hostiles corporativas en la banca tradicional.
La mejor defensa es mantener la mayor parte de sus activos fuera de las bolsas, en lo que se conocen como «billeteras frías» (dispositivos hardware o almacenamiento sin conexión). Elija bolsas que hayan pasado auditorías de seguridad independientes y ofrezcan seguros para los activos.
Por último, incidentes como este nos recuerdan que el mercado de criptomonedas sigue siendo salvaje y peligroso. Justamente por eso existen empresas como CoinKit y TRM Labs: hacen que sea ligeramente más seguro al monitorear flujos sospechosos en tiempo real.
— Editorial Team