Bitfinex le dijo a OCCRP que el análisis estaba «incompleto» e «incorrecto» y que había «evidencia de negligencia… por parte de otras contrapartes que llevaron al ataque». Bitgo se negó a comentar. Ledger Lab no respondió a una solicitud de comentarios.
El pirata informático cubrió sus huellas con una herramienta de destrucción de datos, utilizada para eliminar registros y otros artefactos digitales de forma permanente que podrían haber identificado el punto de entrada inicial a los sistemas de Bitfinex, lo que significa que no está claro cómo ingresaron a los sistemas del intercambio, solo las debilidades de seguridad que detectaron. Se aprovechó una vez dentro. La transferencia de más de 119 000 bitcoins de más de 2000 cuentas de usuarios a billeteras bajo el control del ladrón tomó poco más de tres horas. La criptomoneda permaneció allí durante meses hasta que, a partir de enero de 2017, alguien comenzó a enviar pequeñas cantidades en zigzag a través de otras cuentas. El dinero finalmente se retiró o se usó para hacer pequeñas compras en línea.
Los investigadores lograron seguir el rastro del dinero y, seis años después del hackeo, arrestaron a la pareja acusada de lavar los bitcoins robados. Debajo de la cama de la pareja en su apartamento de Nueva York se encontraron teléfonos desechables, pasaportes falsos y memorias USB que contenían las claves de seguridad electrónicas de la billetera con un valor de $ 3.9 mil millones en bitcoins. Ambos se han declarado inocentes y están a la espera de juicio.
No está claro si las lecciones del hackeo de Bitfinex han llevado a cambios en los procedimientos de la empresa. La compañía le dijo a OCCRP que el informe era «incorrecto» y que había «evidencia de negligencia… por parte de otras contrapartes que llevaron al ataque». Bitgo se negó a comentar.
Karen A. Greenaway, exagente del FBI y especialista en criptomonedas, dice que pensó que las fallas de seguridad de Bitfinex se debieron a su deseo de «realizar más transacciones más rápidamente» y, por lo tanto, aumentar las ganancias. «El hecho de que [Bitfinex] no han proporcionado un [public] el informe aceptando la responsabilidad y remediando las fallas de seguridad que condujeron al ataque dice más de lo que cualquier admisión o negación de su parte lo haría”, dijo el agente.
Los expertos en seguridad dicen que la industria de la criptografía es, en general, menos vulnerable al tipo de ataques relativamente sencillos que ocurrían en la época de la filtración de Bitfinex, pero que el tamaño y la complejidad de la industria han crecido drásticamente desde entonces.
“La superficie que debe protegerse para Web3 es mucho más grande de lo que cabría esperar”, dice Max Galka, fundador y director ejecutivo de la empresa de análisis de cadenas de bloques Elementus. «En algunos casos, lo que podría parecer un hack de contrato inteligente podría haber ocurrido en realidad con varios grados de separación».
Así como el bitcoin robado de Bitfinex se disparó en valor, la industria de la criptografía ahora es masiva, pero las empresas que proporcionan su infraestructura a menudo se enfocan más en moverse rápidamente y ejecutar nuevas ideas.
«Muchas empresas de criptomonedas tienen grandes ideas, pero no piensan en la seguridad», dice Hugh Brooks, director de operaciones de seguridad de la empresa de seguridad de cadenas de bloques CertiK. “Siguen adelante con la creación de una aplicación Web3 hasta que la piratean. Solo un puñado de aplicaciones pasan incluso los controles más básicos”.
Si bien ha habido progreso, dice Brooks, las empresas de criptografía deben invertir mucho más en seguridad. “Si lo violan o comete un error, no se trata solo de algunos nombres de usuario y contraseñas, son los ahorros de toda la vida de alguien o una cantidad potencialmente enorme de fondos”, dice. “Cuando se trata de Internet del dinero, lo que está en juego es mucho más alto”.
Este artículo fue preparado en asociación con Organised Crime and Corruption Reporting Project, una plataforma de reportajes de investigación para una red mundial de centros de medios independientes y periodistas.