El atacante anónimo que sustrajo a la plataforma de intercambio Poly Network más de 600 millones de dólares ha empezado a devolverlos de forma parcial
- 6 minutos de lectura'
Que un pirata informático sea capaz de hacerse con un botín de 600 millones de dólares se parece más al argumento de una película que a la realidad. Que luego empiece a devolver el dinero añade al asunto un rocambolesco giro de guion tan inverosímil como cierto, si se atiende a la información facilitada por la plataforma de criptomonedas Poly Network.
Todo empezó a las 14.30 horas del pasado martes, cuando la firma comunicó en la red social Twitter que había sufrido un robo de criptomonedas, especialmente de ethereum, binance smart chain y polygon. En un comunicado, se dirigía directamente al culpable en un tono más amenazante que conciliador: “Querido hacker. Queremos establecer comunicación con usted y le instamos a que devuelva los activos pirateados. La cantidad de dinero pirateada es la mayor de la historia de las finanzas descentralizadas. Las fuerzas del orden de cualquier país considerarán esto como un delito económico importante y usted será perseguido. El dinero que robó pertenece a decenas de miles de miembros de la comunidad cripto”, rezaba el mensaje.
— Poly Network (@PolyNetwork2) August 10, 2021
Ese mismo día, la compañía señaló que una rápida investigación interna les permitió identificar que el agujero de seguridad estaba en la vulnerabilidad de uno de sus contratos inteligentes —aquellos que utilizan un código o protocolo informático que facilita verificar y hacer cumplir un contrato de manera automática, sin la intermediación de personas—. Horas después, Poly Network facilitaba en redes sociales las tres direcciones en las que esperaba que el pirata retornase las criptomonedas. Basaba todas sus esperanzas en que se tratase de un hacker de sombrero blanco, aquellos interesados en exponer las debilidades de seguridad de las empresas para que las arreglen y no para enriquecerse a su costa.
Con todos los ojos de la comunidad cripto puestos en el asunto, la estrategia pareció dar resultado. Poly Network informó primero de que se habían devuelto cuatro millones, luego la cantidad ascendió a 260 millones y más tarde a 342 millones de dólares. Sin embargo, la última parte del reintegro, más de 200 millones de euros, quedó pendiente de que el hacker facilitara unas claves de acceso y la compañía no ha confirmado aún que haya podido recuperarlos. La gestión de la crisis, teniendo enfrente a un hacker anónimo e imprevisible, no se antoja sencilla, por lo que la plataforma ha pedido sosiego. “Esperamos que los usuarios que temporalmente no pueden transferir sus activos traten de mantener la calma y la paciencia, ya que su comprensión ayudará al equipo a manejar la recuperación de sus activos de la manera más adecuada”, señaló la compañía.
Un acto “por diversión”
En paralelo, Tom Robinson, asesor habitual de gobiernos en torno a delitos relacionados con criptomonedas y cofundador de Elliptic, una empresa de blockchain con sede en Londres, publicaba, también en Twitter, los mensajes que dejó el pirata informático incrustados en las transacciones. En ellos, el hacker afirma haberlo hecho “por diversión”, dice no estar muy interesado en el dinero porque ya ha ganado lo suficiente invirtiendo en criptomonedas y asegura que el plan fue siempre devolver lo tomado. “Sé que duele ser atacado, pero ¿no debería la gente aprender algo de estos hackeos?”, se pregunta el ciberdelincuente. Usando una retórica a veces burlona y otras pretendidamente profunda, incluso se permite citar al filósofo alemán Martin Heidegger y presentarse a sí mismo como un héroe indetectable ávido de emociones fuertes. “Prefiero trabajar en la oscuridad y salvar el mundo”, escribe. “He estado explorando el significado de la vida por un tiempo. Espero que en mi vida haya aventuras únicas”, añade.
Su identidad sigue siendo un misterio, pero se está siguiendo la pista del pirata informático. La firma china de ciberseguridad Slow Mist informó de que sus investigadores identificaron la dirección de correo electrónico, la dirección IP y la huella digital del dispositivo del sospechoso, lo que dio esperanzas de que pudiera ser atrapado, pero no han trascendido novedades al respecto.
Pese al supuesto propósito ético de su acción, supuestamente un modo de alertar de una brecha de seguridad, expertos citados por la agencia Reuters ponen en duda que la intención inicial fuera esa y apuntan a que pudo optar por devolver la jugosa suma de dinero ante las complicaciones para conseguir extraerlo para su uso personal, dado que las transacciones dejan rastro. La compañía afectada también ha tratado de tentarle para acelerar el proceso: ofreció al pirata 500.000 dólares (425.000 euros) si devuelve todo lo robado y como premio por haberles puesto sobre la pista del problema de seguridad. El hacker no respondió a la oferta y empezó a devolver el dinero.
Poly Network ha pedido perdón por lo sucedido, que ha dejado a parte de sus usuarios sin poder transferir sus activos, y asegura que el fallo en el sistema que permitió el robo ya ha sido subsanado. Para evitar futuros problemas, ha lanzado un programa por el cual recompensará con 100.000 dólares a las agencias de seguridad por cada vulnerabilidad que detecten en su operativa, hasta un desembolso máximo de 500.000 dólares, o lo que es lo mismo: cinco fallos.
Desasosiego en los inversores
La recuperación completa del dinero tiene otro obstáculo. Cuando se enteró del robo, Tether, emisora de una de las monedas robadas a Poly Network, fue capaz de congelar 33 millones de dólares del importe sustraído para evitar que el ladrón los transfiriera en su beneficio y ambas firmas están en conversaciones para ver cómo desbloquear ese dinero.
El incidente pone sobre la mesa los riesgos del boyante negocio de las criptomonedas, cuyo valor de mercado actual ronda los dos billones de dólares. La noticia puede traer cierta inseguridad a una parte de los inversores, que asumen con cierto desasosiego el peligro de colocar su dinero en un sector desregulado buscando prolongar la racha de beneficios rápidos y cuantiosos que acumulan muchos de los compradores de criptomonedas. Sin embargo, entre los partidarios de estas divisas electrónicas hay quien defiende que el hecho de que el hacker no se haya embolsado el dinero se debe precisamente a la naturaleza del ecosistema de las finanzas descentralizadas, que consideran transparente y fácilmente trazable, lo que sería un argumento a favor de su uso y no al contrario.
En 2014, la japonesa Mt. Gox, una de las mayores casas de intercambio de bitcoins, se acogió a la ley nacional de quiebras después de que desaparecieran de sus monederos virtuales más de 300 millones de euros en bitcoins al precio de entonces. En 2018, los problemas de seguridad volvieron a ser noticia también en Japón. Las autoridades de ese país dieron un serio toque de atención a las casas de intercambio de criptomonedas después del robo a Coincheck de 430 millones de euros en divisas digitales almacenadas en las carteras virtuales de unos 260.000 usuarios. Más recientemente, en abril de este año, el fundador de la plataforma de criptomonedas turca Thodex huyó del país tras dejar en la estacada y sin parte de sus ahorros a casi 400.000 inversores, en un fraude multimillonario por el que han sido arrestadas 62 personas.