Hodler Mag #12: Lecciones de privacidad y soberanía del hack de Bitfinex

Intro

El primero de febrero de este año, Coindesk reportó que casi 100.000 bitcoin robados en un hackeo a la casa de cambio Bitfinex, en 2016, se movieron a otra dirección durante horas de la madrugada americana. Para ese entonces, aún no se sabía que el gobierno de Estados Unidos había tomado control de gran parte del botín de aquel hack a Btifinex. El segundo atraco más grande de la historia de los exchanges, después del hackeo a Mt. Gox.

En la edición de hoy, nos vamos a sumergir en este caso y en la documentación disponible para entender cómo los gobiernos rastrean los movimientos en la cadena de bloques, cómo descubrieron a quienes tenían en su poder el botín de Bitfinex y, finalmente, algunos consejos de privacidad para aprender algo de todo esto.

Esta será la última edición de este newsletter con este formato. Como anunció Tom en Twitter, ya no va a seguir escribiendo Hodler Mag. Este no es el final de Hodler Mag, sino que será el inicio de una nueva etapa de la que pronto te vas a estar enterando. 

Queríamos darle un cierre a esta primera etapa en una edición de despedida. ¡Que se la merece!

Team Hodler

  ¿Prefieres audio? Puedes escuchar la versión audible aquí o en tu plataforma de podcasts favorita:

El segundo hack más grande de la historia

El 2 de agosto de 2016 miles de clientes de una de las casas de cambio de mayor volumen en ese entonces, Bitfinex, recibieron ese correo tan temido por quienes guardan bitcoin en un exchange. Un mail con las palabras "brecha de seguridad"; "estamos investigando para determinar lo que ocurrió"; "el robo ha sido reportado a las autoridades"; no son señales de buenas noticias.

El botín ascendió a los 119.754 BTC, y hasta esta semana solo se había logrado recuperar apenas unos 34.17 BTC. En la misma semana que se produjo el robo, Bitifnex ofreció una solución: una quita general del 36% del saldo en bitcoin en el exchange a todos los usuarios y la entrega de tokens BFX en compensación de la pérdida que se prorrateó entre todos los usuarios. Estos tokens era promesas de pago de devolución de los fondos perdidos o daban el derecho a convertirlos en participación accionaria en la empresa. Rápidamente Bitfinex cumplió, y para octubre de 2017 la empresa ya había quemado todos los tokens tras recomprarlos a su valor nominal de USD 1. La mayoría de los clientes estuvieron contentos. 

Poco se sabe acerca de los detalles técnicos. Paolo Ardoino, actual CTO de Bitfinex, explicó que al ser una investigación en curso nunca pudieron revelar los detalles importantes de cómo ocurrió el hackeo, en qué se falló y que medidas se tomaron para prevenir otros ataques. Lo que se conoce en ciberseguridad como un informe "post-mortem".

El CEO de BitGo, Mike Belshe, la empresa que le brindaba servicios de custodia a Bitfinex en el momento del hack reavivó el tema en un tuit después de conocerse las noticias que llegaban desde el departamento de Justicia. "BitGo no fue hackeado ni vulnerado en el incidente. Bitfinex tuvo una falla mayor en "múltiples sistemas y personas", tuiteó el mismo día del anuncio de la recuperación. 

La acusación de Belshe no cayó bien en Zane Tackett, entonces director de comunicaciones de Bitfinex, quien reaccionó con un tuit desafiante. "Solo para aclarar, ¿estás diciendo que BitGo (sistemas y personas) no fueron comprometidos en ese momento o alrededor de ese momento?", respondió. . 

Estos tuits son valiosos porque nos indican algunos aspectos desconocidos hasta ahora del hack. Particularmente la cuestión de que probablemente hubo involucradas técnicas de ingeniería social, por lo cual no solo fallaron sistemas tecnológicos, sino que también hubo graves fallos de seguridad. 

Lo más interesante que se conoce sobre el caso, sin embargo, es la detallada explicación que presentó el gobierno en la que exponen cómo lograron descubrir quienes eran los presuntos autores de este hack, o al menos los poseedores del tesoro de Bitfinex. 

La recuperación del botín

Nadie esperaría que la última publicación de una de las posibles superhackers,responsable del segundo atraco más importante de la historia a un exchange, sea un vídeo en TikTok desde un baño quejándose de los salones de manicura. Heather Morgan, una de las acusadas de lavado de dinero, ahora bajo arresto, se presentaba como empresaria, y tenía columnas en publicaciones como Forbes e Inc. sobre negocios y marketing. 

Su pareja, el otro acusado, es Ilya Lichtenstein. Él tampoco tiene el perfil de ese hacker con hoodie que espera a que caiga el sol para salir a quebrar sistemas de seguridad. Fue alumni de la aceleradora de proyectos YCombinator y creó varias empresas tecnológicas en San Francisco y New York. 

Al principio parece surreal que esta pareja esté detrás del hackeo, sin embargo, así como "sin tus llaves, no tienes monedas", si tienes las llaves, son tus bitcoin. De alguna manera, Lichtenstein y Morgan consiguieron las llaves que les permitían gastar los bitcoin del robo a Bitfinex, y de hecho entre el 2016 y hoy gastaron 25.000 BTC . 

El anuncio del pasado martes 8 de febrero tuvo todos los ingredientes de estos anuncios. La pomposidad habitual de un comunicado de prensa en el que participan fiscales federales, el FBI, el resto de las agencias involucradas como la división de Investigación Criminal de la IRS, y las infaltables declaraciones que van entre la disuasión a la amenaza del tipo: "[El] caso de hoy es un recordatorio que el FBI tiene las herramientas para seguir el rastro digital, a dónde sea que lleve", como dijo el director adjunto del FBI, Paul Abbate. 

La investigación, según muestran los documentos presentados al público, se montó sobre dos herramientas: órdenes judiciales, por un lado, y análisis forense de la cadena de bloques, por el otro. Las órdenes judiciales solo las pueden emitir los jueces, pero el análisis de la cadena de bloques está disponible para cualquier que tenga los conocimientos de hacerlo o las herramientas que facilitan las investigaciones. 

Las herramientas

La transparencia de la cadena de bloques de Bitcoin permite el análisis de las transacciones que ocurren, y cuáles son los saldos que específicamente se están moviendo. Este historial permite rastrear hasta el bloque en el que esos bitcoin fueron minados. Estos son datos interesantes que pueden ser utilizados con fines no tan nobles. Están quienes utilizan esa información para hacer trading, tomar decisiones de inversión, o simplemente conocer la salud de la red a través de métricas específicas, pero también está el lado más oscuro.

Hay empresas, como Chainalysis, que brindan soluciones de software a exchange para que cumplan con regulaciones KYC y anti-lavado de dinero, pero también son cercanos colaboradores y consultores con agencias de seguridad de todo el mundo. En este caso la técnica de análisis forense de la cadena se puso al servicio de una causa justa, aunque no es la mayoría de los casos. Esa empresa se tiene bien ganado el odio de la mayoría de los bitcoiners. 

Yendo a los hechos, el agente especial de la IRS, Christopher Janczewski, explica que encontraron los fondos en distintas wallets y casas de cambio. Incluyendo la billetera original que recibio los casi 120.000 bitcoin distribuidos "en más 2.000 direcciones de BTC". Además, recuperaron los bitcoin de cuentas de AlphaBay, uno de los tantos herederos de Silk Road en la dark web; varias cuentas en al menos 10 casas de cambio, incluído una con sede en Estados Unidos; y otras billeteras de autocustodia.

La metodología

Debido a la transparencia de Bitcoin que mencionamos antes, está claro que los ladrones del botín de Bitfinex debían buscar una manera de que se pierda el rastro de esos bitcoin en las cadenas de bloques y alguna forma de legitimizar el dinero. Para eso, describe la acusación, la pareja recurrió a:

• Utilizar cuentas creadas con identidades ficticias.
• Mover fondos robados en pequeñas cantidades, totalizando miles de transacciones, en vez de mover todos los fondos a la vez o en bloques más grandes.
• Usar programas de computadora para automatizar transacciones, una técnica de lavado que permite que muchas transacciones tengan lugar en un período breve de tiempo.
• Emplear capas para depositar los fondos robados, depositándolos en diversos exchange y mercados de la dark web, y luego retirarlos, ofuscando el rastro de la historia de las transacciones. 
• Convertir bitcoin a otras criptomonedas, incluyendo criptomonedas anónimas.
• Utilizar negocios con sede en Estados Unidos para legitimizar la actividad.
• Abandonaban las cuentas cuando se requería verificación KYC.

El esquema de lavado consistía en depositar bitcoin en la wallet de un darkmarket como AlphaBay, donde de paso compraron pasaportes e identificaciones falsas, que usaron para crear cuentas en exchanges de donde después retiraban los fondos en bitcoin. En esos exchange en los que no figuraban los nombres de Lichtenstein y Morgan, enviaban bitcoin a una wallet de autocustodia (la acusación utiliza la nefasta terminología del GAFI llamándola "unhosted wallet") y de ahí enviaban los fondos a una casa de cambio a nombre de uno de los integrantes de la pareja, o en su defecto algunas de sus sociedades registradas en Estados Unidos. 

Algunas de esas monedas terminaban en un procesador de pagos de bitcoin que utilizaba una web de venta de oro físico. ¿Habrá sido Peter Schiff el que le mandó oro a la casa a Ilya? Los presuntos hackers también usaban un servicio de compra tarjetas de regalo, compradas con bitcoin para gastar en lugares como Walmart, Uber, Hotels.com y PlayStation. En todas estas cuentas estaban asociados sus nombres reales. 

Entre marzo y octubre de 2021 cambiaron unos tres millones de dólares en bitcoin y recibieron el fiat en una cuenta bancaria de una institución financiera de Estados Unidos. Cuando el exchange les preguntó acerca del origen de los fondos, la pareja dijo que eran inversiones anteriores a 2015. El problema se presentó cuando del análisis de la cadena de bloques mostró que esos bitcoin provenían de uno de los exchange utilizados para recibir criptomonedas desde AlphaBay. Estos son algunos de los tantos errores que cometieron. 

Entendiendo la caída y si es bitcoin inconfiscable

Quizás el primer error de todos fue haber usado AlphaBay como método para enmascarar el origen de los bitcoin. Resulta que Alphabay cayó en una redada en octubre de 2017 y el gobierno de Estados Unidos asumió el control del sitio. Es probable que las autoridades hayan rastreado en los movimientos internos del dark market el movimiento dentro de la plataforma de las monedas que provenían del hack de Bitfinex.

También, los investigadores pudieron detectar que siete cuentas de uno de los exchange que recibía esos fondos pertenecían a la misma persona a partir de los siguientes indicios:

• Estaban vinculadas a estilos de direcciones de correo electrónico similares y alojadas en el mismo proveedor.
• Se accedía desde el mismo IP. 
• Fueron creadas durante la época del hackeo a Bitfinex.
• Los fondos se movían a blockchain de monedas con más anonimato.
• Abandonaban las cuentas cuando se les requería completar el KYC.

Estos son solo algunos descuidos. Por ejemplo, la pareja canjeó tres gift cards en la aplicación de Walmart usando sus nombres, direcciones de e-mail y domicilio reales. Cada uno de los pasos que dieron facilitó la investigación policial, pero ninguno de estos explica como hicieron las fuerzas de seguridad para hacerse del control de los 94.636 BTC de Bitfinex.

La explicación es sencilla. Hay una sola: el gobierno tomó el control de las llaves privadas de los presuntos hackers. ¿Cómo lo hizo? La pareja guardaba en un servicio de alojamiento de archivos en la nube con sede en Estados Unidos todas las llaves públicas, y correspondientes llaves privadas, de las direcciones donde estaban gran parte de los bitcoin del robo. El pasado 31 de enero , mediante una orden judicial, las autoridades obtuvieron acceso a ese archivo que estaba encriptado y al confiscarlos volvieron a ubicar a Estados Unidos como el principal tenedor de bitcoin en la categoría de estados soberanos, al menos temporalmente. 

En conclusión

1- Pese a todas las medidas anti-lavado de dinero, los hackers pudieron operar con tranquilidad en diversos exchange alrededor del mundo. No cayeron por estas regulaciones. 

2- Las agencias de seguridad gubernamentales cada vez más entienden que pueden usar el análisis de cadena de bloques a su favor y que la transparencia de Bitcoin les beneficia. 

3- Bitcoin es inconfiscable, pero si no guardas tus llaves privadas en un lugar seguro, es probable que alguien obtenga acceso a ellos. 

En el caso del hackeo a Bitfinex vimos como el gobierno logró confiscar los bitcoin del botín gracias a varios errores por parte de los supuestos hackers. En este caso, la maquinaria estatal se movió para detener a dos verdaderos criminales. Una excepción. Al entender cómo operaban Morgan y Lichtenstein podemos entender mejor, con un caso práctico, las distintas herramientas que tienen las autoridades para seguir la ruta de la cadena de bloques. 

Algunas de las características de Bitcoin, como su resistencia a la censura o su inconfiscabilidad, deberían venir con la advertencia de que para aprovechar todas esas ventajas al máximo es necesario ser consciente de la privacidad, seguir las mejores prácticas y asumir las incomodidades menores que implica adoptar dinero imparable.