Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
SOLICITAR DEMO
en
Buscar en
Buscar en
Perspectivas
5 de junio de 2024

Devolución de fondos a DeFi Exchange Nirvana en el primer proceso por pirateo de DeFi

TRM InsightsPerspectivas
Devolución de fondos a DeFi Exchange Nirvana en el primer proceso por pirateo de DeFi

Según TRM Labshoy se han devuelto unos 2,6 millones de USD en criptodivisas al exchange descentralizado Nirvana. Nirvana fue víctima de un hackeo en julio de 2022 que resultó en el primer enjuiciamiento y condena por un hackeo DeFi . TRM Labs se enorgullece de haber apoyado a las fuerzas del orden durante esta investigación y a la víctima durante la respuesta al incidente.

El equipo de Investigaciones Globales de TRM recibió una alerta en TRM Detect indicando que los fondos robados - en la stablecoin DAI - se movieron de nuevo al protocolo explotado DeFi .

El equipo de Investigaciones Globales de TRM recibió una alerta en TRM indicando que los fondos robados fueron devueltos a Nirvana Finance el 5 de junio de 2024

Según los documentos judiciales, en julio de 2022, Shakeeb Ahmed, un ingeniero de seguridad capacitado, llevó a cabo un ataque contra un intercambio de criptodivisas no identificado explotando una vulnerabilidad en uno de los smart contracts de los intercambios.

Además, Ahmed, que se declaró culpable a finales del año pasado, atacó el protocolo DeFi Nirvana. Nirvana compraba y vendía su token de criptomoneda, ANA, y estaba diseñado de forma que cuando un usuario compraba una cantidad sustancial de ANA, el precio de ANA aumentaba, y cuando un usuario vendía una cantidad sustancial de ANA, el precio de ANA disminuía.

El 28 de julio de 2022, unas semanas después del hackeo de la Criptobolsa, Ahmed llevó a cabo el exploit de Nirvana en el que pidió un préstamo flash de aproximadamente 10 millones de USD, utilizó esos fondos para comprar ANA a Nirvana, y utilizó un exploit que descubrió en los smart contracts de Nirvana para comprar el ANA a su precio inicial bajo, en lugar de al precio más alto que Nirvana estaba diseñada para cobrarle a la luz del tamaño de su compra. Cuando el precio del ANA se actualizó para reflejar su gran compra, Ahmed revendió el ANA que había comprado a Nirvana al nuevo precio más alto, lo que le reportó un beneficio de aproximadamente 3,6 millones de USD.  

Nirvana ofreció a Ahmed una recompensa de 600.000 dólares por devolver los fondos robados, pero Ahmed exigió 1,4 millones de dólares, no llegó a un acuerdo con Nirvana y se quedó con todos los fondos robados. Los 3,6 millones de dólares robados por Ahmed representaban aproximadamente todos los fondos de Nirvana, que cerró poco después del ataque de Ahmed.

Ahmed blanqueó los millones que robó de la Crypto Exchange y de Nirvana utilizando varias técnicas de ofuscación en la cadena, incluido el uso de mezcladores, intercambios cruzados en cadena y la moneda de privacidad Monero.

A continuación, hablaremos del exploit en el Crypto Exchange, la respuesta al incidente y la investigación utilizando Inteligencia en Blockchain de TRM.

La explotación‍

Según la acusación, en el momento del ataque, el acusado "era un ingeniero de seguridad senior para una empresa internacional de tecnología cuyo currículum reflejaba habilidades en, entre otras cosas, ingeniería inversa de smart contracts y auditorías de blockchain, que son algunas de las habilidades especializadas que Ahmed utilizó para ejecutar el ataque." El Crypto Exchange, también según la acusación, es un "creador de mercado automatizado" que se basa en smart contracts para que sus clientes intercambien activos en la blockchain Solana. Específicamente, el Crypto Exchange creó un mercado para el comercio mediante la puesta en común de la liquidez de sus clientes (por ejemplo, el cliente deposita 100 USDC en el intercambio a precio de mercado, el intercambio paga los honorarios del cliente por hacer que la liquidez esté disponible).

El 2 de julio de 2022, la Crypto Exchange notificó al público que estaba sufriendo un ataque y que tomaría medidas correctivas rápidas para proteger los fondos de los clientes. Ese ataque fue supuestamente llevado a cabo por el acusado, que explotó el smart contract asociado al intercambio proporcionando datos falsos para hacer creer que había suministrado un gran volumen de liquidez al intercambio, lo que en realidad no había hecho. Como resultado, el acusado recibió fraudulentamente importantes comisiones de la bolsa. 

Además, después de averiguar cómo explotar el smart contract de la Bolsa, el acusado supuestamente utilizó fondos de "préstamos flash" para hacer una serie de depósitos en la Bolsa, generando comisiones fraudulentas adicionales. A continuación, el acusado creó otra cuenta fraudulenta en la bolsa y manipuló aún más el smart contract inteligente para poder retirar rápidamente los fondos principales de la bolsa.

Se cree que Ahmed obtuvo fraudulentamente, en total, más de 9 millones de dólares estadounidenses en criptomoneda de la Bolsa manipulando el smart contract. Utilizando TRM Labs Graph Visualizerse puede ver el exploit procedente de la dirección del explotador, cruzando blockchains de Solana a Ethereum, y moviéndose a direcciones ETH posteriores.

Tras la explotación, el acusado necesitaba ocultar el flujo de los fondos obtenidos fraudulentamente, por lo que comenzó a utilizar sofisticadas técnicas de blanqueo de capitales para ocultar el destino de los fondos. Al parecer, el acusado intercambió fondos entre blockchains varias veces, utilizó "mezcladores" de criptomonedas y trasladó fondos a criptomonedas con privacidad mejorada para ocultar el flujo de fondos‍.

La respuesta‍

Tras el ataque, la Bolsa trabajó con el equipo de respuesta a incidentes de TRM y con investigadores de HSI e IRS para rastrear y localizar el flujo de fondos antes y después del ataque.

En el transcurso de la investigación y la respuesta al incidente, el acusado devolvió todos los fondos excepto 1,5 millones de USD en criptomoneda, que, según afirmó, se le debían por poner de manifiesto la vulnerabilidad del protocolo smart contract inteligentes.

Según la acusación, los investigadores utilizaron estos datos de la cadena con una investigación fuera de la cadena para identificar y detener finalmente al acusado. Esa investigación fuera de la cadena reveló que, tras el ataque, el acusado buscó en Internet información sobre el ataque, su propia responsabilidad penal, abogados penalistas expertos en casos similares, la capacidad de las fuerzas del orden para investigar con éxito el ataque y la huida de Estados Unidos para evitar cargos penales.  

Por ejemplo, según la acusación, dos días después del ataque, el acusado realizó una búsqueda en Internet del término "defi hack", leyó varios artículos de noticias sobre el hackeo del Crypto Exchange y realizó búsquedas en Internet o visitó sitios web relacionados con su capacidad para huir de Estados Unidos, evitar la extradición y conservar su criptodivisa robada: buscó los términos "can I cross border with crypto", "how to stop federal government from seizing assets" y "buying citizenship"; y visitó un sitio web titulado "16 Countries Where Your Investments Can Buy Citizenship . . ."

El 14 de diciembre de 2023, Ahmed se declaró culpable en relación con los dos hackeos y acordó decomisar más de 12,3 millones de dólares estadounidenses, incluido el decomiso de aproximadamente 5,6 millones de dólares estadounidenses en criptomoneda obtenida fraudulentamente.

Este caso ejemplifica los esfuerzos sofisticados y coordinados de las agencias policiales estadounidenses como HSI e IRS, utilizando Inteligencia en Blockchain, para desbaratar y castigar el fraude en el ecosistema de la criptodivisa. También destaca la importancia de poder rastrear y seguir el flujo de fondos a través de blockchains para detener a los actores ilícitos que buscan ofuscar las transacciones.

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
12 de diciembre de 2023

Los transportes por carretera se reducirán a la mitad a partir de 2022

flecha derecha
19 de agosto de 2021

Liquid Hack: la segunda vez

flecha derecha
31 de octubre de 2022

TRM Talks | Incident Response: Tras los cripto hackeos

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME