Seguridad blockchain y Web3: ¿Cómo evitar estafas y hackeos?

La tecnología blockchain destaca por su seguridad, pero el espacio cripto no está exento de peligros. El ecosistema Web3 abre la puerta al empoderamiento personal y financiero, aunque esto conlleva una cuota de responsabilidad considerable. Operar de forma segura implica seguir una serie de pautas básicas.

En esta guía, veremos los consejos básicos de seguridad que debes conocer para evitar los riesgos de la autocustodia, las operaciones entre pares y las vulnerabilidades informáticas. También veremos los hackeos y estafas más comunes, y cómo evitarlas.

Consejos de seguridad blockchain y Web3

Se piensa que los activos digitales son peligrosos por naturaleza. En términos de volatilidad, podría ser. En cuanto a la seguridad de las criptomonedas, la blockchain ofrece un nivel de protección y privacidad difícilmente superable en la actualidad. Pero hay que seguir unas medidas de seguridad básicas.

Usa redes confiables

El algoritmo es una medida de seguridad contra los hackers. Para romperlo, se necesita un poder computacional casi inalcanzable. Pensemos que la red Bitcoin no ha sido hackeada desde su creación en 2008 (aunque sí las cuentas de muchos usuarios, por errores humanos principalmente).

Los hackers buscan carencias en la seguridad y piratean los monederos o las plataformas utilizadas para gestionar y almacenar activos digitales. La ingeniería social suele ser común en los robos de criptomonedas. Por lo tanto, el primer consejo de seguridad más importante es operar en exchanges resistentes a los ataques.

Usa contraseñas robustas

Una de las contraseñas más comunes es 123456. No la uses. Genera contraseñas largas combinando mayúsculas, minúsculas, números y símbolos. Cuanto más aleatoria sea la clave, mejor. Lo ideal es crear un password para cada cuenta usando generadores de contraseñas son extremadamente útiles para aumentar la seguridad de tus criptomonedas.

Estos servicios son muy cómodos, pero hay que investigar antes de usarlos para comprobar que son confiables. De cualquier manera, la solución más habitual, aunque parezca básica, es anotar las contraseñas en papel (o algún otro soporte que no se degrade fácilmente) y guardarla en un lugar seguro.

Habilita la autenticación 2FA

La autenticación de dos factores (2FA) es una capa extra de seguridad para tus criptomonedas. Añade un paso más en el proceso de inicio de sesión: es necesario insertar una contraseña extra para acceder que se obtiene de diversas formas. Lo habitual es generarla con una aplicación externa como Google Authenticator.

La autenticación 2FA dificulta los robos, ya que el hacker, además de averiguar las credenciales de acceso, tendría que infectar el dispositivo móvil para obtener el código 2FA, que se renueva cada pocos segundos. La mayoría de los exchanges ofrecen esta barrera de seguridad, con procedimientos fáciles de seguir.

Custodia tus criptomonedas

Este puede ser el error más común. Aunque permiten el almacenamiento de activos, la función principal de un exchange es el intercambio. Para aumentar la seguridad de tus criptomonedas, deja una mínima parte de tus fondos en los exchanges, la suficiente para operar. Lo ideal es almacenar el resto en un monedero de autocustodia.

Los criptoactivos que permanecen en un exchange dependen de la plataforma, que tiene las claves privadas. El acceso a tu dinero depende del exchange, como ocurre con un banco, pudiendo congelar tu cuenta en cualquier momento. Además, los exchanges son objetivos comunes de los hackers.

Utiliza monederos de hardware

Esta medida de seguridad depende en gran medida del volumen de tus fondos. Como regla general, lo aconsejable es utilizar un monedero de hardware para cantidades de criptomonedas cuyo valor supere los 500 dólares. Esta cifra puede variar dependiendo del precio del monedero y de las necesidades de cada usuario.

Los monederos de hardware aumentan significativamente la seguridad. Son dispositivos diseñados para almacenar y gestionar los activos sin exponer las claves. Este tipo de monedero almacena las claves privadas dentro de un circuito impenetrable y permite firmar las transacciones con un clic manual, no digital.

No conectarse al wifi público

El wifi público puede ser un servicio cómodo, sin embargo debe evitarse interactuar con cualquier exchange o monedero utilizando una red pública, sobre todo si está abierta. Los hackers pueden recoger fácilmente los datos transmitidos a través de la red, incluyendo contraseñas.

Si no tienes opción y necesitas conectarte a una red pública para realizar alguna operación, al menos usa una VPN.

Cuidado con el phishing

El phishing es el método más común para robar datos bancarios. Los exchanges también están sujetos a esta técnica encubierta. Es una de las tácticas de estafa mas básicas, utilizadas por los hackers para robar criptomonedas. En muchos casos, los hackers crean un sitio web falso que se asemeja al sitio original. Al introducir el usuario y la contraseña de tu cuenta, los criminales obtienen tus datos de acceso.

Puedes guardar la dirección web de los exchanges que utilices en tus marcadores para acceder a ellos. En cualquier caso, comprueba siempre que la dirección que aparece en la barra de búsqueda es la correcta: sin faltas ortográficas o símbolos añadidos, y con la extensión de la página.

Mantén tu patrimonio en privado

Muchos traders y creadores de contenido se jactan de sus inversiones exitosas. Era algo normal en 2017. Hoy en día, es menos habitual. Publicar tus tenencias puede resultar peligroso. El ejemplo más extremo es el del bitcoiner noruego que murió después de ser obligado a enviar sus fondos.

Lo mejor es no presumir de sus criptomonedas para no llamar la atención de los criminales. Ten en cuenta que las criptomonedas que custodias dependen de ti: tu tienes las claves. Los hackers no son el único peligro ahí fuera, también podrían buscarte físicamente para conseguir tu monedero y tus claves.

Cuidado al enviar criptomonedas

Las direcciones de criptomonedas son muy largas y complejas. Un ejemplo: bc1qpp83ssd5a3p9vhwktp777n968fdj9fjttswc7a. Si envías los activos a una dirección equivocada por error, perderás tus fondos. Como las direcciones no están asociadas a una identidad, es prácticamente imposible encontrar a la persona que tiene acceso a los fondos.

Incluso si lo encuentras, no puedes obligarle a devolverte el dinero. Si se trata de una transacción entre dos monederos de autocustodia (sin exchange implicado), tampoco existe un intermediario que pueda intervenir.

Como las direcciones son muy largas, no es recomendable escribir estas direcciones manualmente. Muchos monederos y exchanges permiten copiar y pegar las direcciones u ofrecen la opción de enviar y recibir usando códigos QR. En cualquier caso, comprueba siempre la dirección antes de enviar.

Tipos de estafas con criptomonedas

La creatividad es uno de los puntos fuertes de los estafadores. Si bien es cierto que suelen recurrir a trucos muy antiguos, su capacidad para innovar y adaptarlos a situaciones concretas es enorme. En el caso de las estafas con criptomonedas, hay que añadir factores que multiplican a la enésima potencia el alcance de los scams:

• Anonimato que ofrecen los entornos blockchain.
• Desinformación de los usuarios nuevos.
• Avances tecnológicos utilizados por los delincuentes.
• Innovaciones constantes en técnicas ya conocidas.
• Fuerte influencia de la actividad en redes sociales.

Cabe destacar que los estafadores parece que van siempre un paso por delante de las autoridades policiales y los expertos. Puede ser una cuestión de formación, acceso a la tecnología o, simplemente, de pericia. Al fin y al cabo, los estafadores son profesionales que se dedican a mejorar sus estrategias que, dicho sea de paso, no son simples: las estafas más efectivas fusionan diferentes tipos y técnicas.

Esquemas Ponzi

Todo un clásico. Las estafas piramidales no son exclusivas del espacio de criptomonedas, pero se han adaptado bien al mercado. La estructura de Carlo Ponzi se cebó con la comunidad en 2019, año en el que se estima que su implementación supuso pérdidas por el valor de 4,300 millones de dólares en criptomonedas: algo más del 90 % de los ingresos totales por estafas.

Puede que te preguntes cómo consiguen los estafadores levantar una estructura tan débil y mantenerla el tiempo suficiente para generar beneficios. No es difícil: solo necesitan mantener un flujo de entrada de inversores constante. Los reclamos para conseguirlo son diversos, y pueden incluir el uso de imágenes de famosos (con o sin su permiso) o la promesa de ganancias astronómicas.

Cualquier cosa vale con tal de atraer a más y más inversores, ya que el negocio no se basa en ninguna actividad real (aunque los estafadores inventen alguna). Los beneficios obtenidos por los inversores proceden de los fondos depositados: los nuevos inversores pagan a los antiguos. Cuando el flujo de capital cesa, la casa de naipes se desmorona y se revela la estafa con criptomonedas.

Rug pull

La incidencia de los esquemas Ponzi ha ido reduciéndose desde 2019, dando paso a otros tipos de scams, como es el caso de los rug pulls. Veamos qué es un rug pull y cómo evitar este tipo de estafa, cuyo impacto se disparó en 2021. Su contribución al aumento de pérdidas derivadas de las estafas es obvia: unos 2,800 millones de dólares de los 7,800 millones de dólares que ingresaron los estafadores ese año en el mercado de criptomonedas.

Un rug pull funciona de forma bastante sencilla. Primero, los estafadores atraen a los inversores. Luego, desaparecen con el dinero. Por supuesto, el éxito de estos proyectos fraudulentos depende de la elaboración del proceso. Hay casos en los que el trabajo previo es de tal magnitud que resulta complicado definirlos como rug pulls o fracasos de proyectos legítimos. Anteriormente, esta estafa con criptomonedas era conocida como exit scams.

Pump and Dump

En los fraudes pump and dump, los estafadores inflan artificialmente el precio de un activo y luego lo tumban. Se trata de un tipo de scam presente en todos los mercados, no solo en el espacio de criptomonedas. La manipulación es fundamental para el éxito de estas estafas, tanto en la difusión de la información sobre el activo como en la operativa.

Por ejemplo, un grupo de estafadores puede promocionar un token sin valor, adquiriendo previamente un volumen considerable de tokens para luego hacer una venta masiva (siempre y cuando consigan inflar el precio engañando a los inversores).​ Este token puede pertenecer a un proyecto ajeno o propio, en cuyo caso podríamos establecer una conexión entre el pump and dump y el rug pull.

La capacidad para influir en las decisiones de los demás es una variable tenida en cuenta a la hora de acusar a alguien de incurrir en un fraude pump and dump, así como otro tipos de estafa con criptomonedas. El caso de las denuncias contra Elon Musk es un ejemplo claro de cómo la popularidad puede considerarse una herramienta ilícita en los mercados financieros.

¿Cómo evitar las estafas con criptomonedas?

Los estafadores de criptomonedas están siempre al acecho, ¿cómo podemos resguardar nuestras inversiones? No se trata de andar desconfiando 24/7, sino de operar con cautela, siempre basándonos en una investigación previa y teniendo en cuenta algunos detalles que deben activar las alertas.

Señales de estafa con criptomonedas

• Mails y webs sospechosos. De las estrategias más efectivas usadas por los estafadores de criptomonedas incluyen el phishing (y técnicas de ingeniería social), la instalación de malware (usurpando webs legítimas o a través de mensajes) o la suplantación de identidades. Conocer las herramientas utilizadas por los estafadores nos protege de sus ataques.
• Garantizar beneficios. Uno de los anzuelos más comunes de los estafadores en el mundo de las finanzas es asegurar que generarás beneficios. Nadie puede garantizarte que ganarás dinero con tu inversión: hay probabilidades de generar beneficios, pero también de incurrir en pérdidas.
• Rentabilidades imposibles. Si te ofrecen un retorno que parece salido de un cuento de hadas, desconfía. El refranero popular ya lo dice: “si es demasiado bueno para ser verdad, no lo es”. La cuestión es qué consideramos un ROI poco realista. Como siempre, depende del mercado y los productos estándar.
• Empresas fantasma. En el espacio de criptomonedas, el anonimato de los fundadores de proyectos es habitual. Basta con revisar la historia de Bitcoin: todavía no se sabe quién es Satoshi Nakamoto (ni puede que se sepa nunca). Bitcoin ha tenido éxito y ha probado ser una herramienta sólida. No se puede decir lo mismo de la multitud de proyectos con fundadores que, aprovechando el anonimato, han desplumado a los inversores.
• Solicitud de información delicada. Los exchanges de criptomonedas necesitan disponer de tus datos para cumplir con normativas y regulaciones, pero siempre puedes negarte a pasar un KYC y elegir otro exchange sin KYC que ofrezca un mayor nivel de privacidad. Hasta cierto punto, es comprensible que una compañía te pida información, pero hay límites. El más obvio tiene que ver con la frase semilla: si te la piden, huye.
• Amor y dinero. Algunos tipos de estafas mezclan las finanzas con aspectos sociales y personales, tal y como se ha comprobado en casos de romance scams como el de Rebecca Holloway, una usuaria de Tinder que perdió 100,000 dólares tras ser víctima de una estafa con criptomonedas.

Hackeos y estafas cripto más sonadas

Los avances en el desarrollo de soluciones blockchain han ido acompañadas de incrementos en el volumen de fondos sustraídos en los hackeos y estafas, llegando a superar el 100% en periodos anuales, como ocurrió entre 2021 y 2022, años en los que asistimos a los ataques más devastadores.

En cuanto a las estafas, algunas de las más escandalosas están relacionadas con plataformas que aprovecharon la creciente popularidad de Bitcoin. Algunas comenzaron como proyectos legítimos, otras fueron auténticos scams. Independientemente de sus objetivos iniciales, todos tuvieron resultados desastrosos para los inversores.

Estafa Terraform Labs (2022)

Aunque algunos expertos consideran el caso de Do Kwon como un proyecto fallido, parece que la SEC tiene claro que se trata de una estafa a gran escala. Obviando el gusto de la comisión de valores por demandar cualquier cosa que huela a estafa con criptomonedas, puede que tenga razón en este caso. De ser así, hablaríamos de un fraude cuyas pérdidas ascienden a 40 mil millones de dólares.

Estafa OneCoin (2016)

Con un alcance mundial, OneCoin se considera una de las mayores estafas de la historia de las criptomonedas. Ruja Ignatova, la “Cryptoqueen de OneCoin”, fue el motor de este proyecto fundado en 2014 aprovechando el auge de Bitcoin. De hecho, Ignatova prometía que su ecosistema superaría a todas las propuestas disponibles en 2016, año en el que se lanzó una agresiva campaña de promoción.

Un año más tarde, la CEO de OneCoin desapareció y los avisos de los reguladores dieron paso a investigaciones más profundas por parte de las autoridades. Actualmente, se estima que el proyecto ingresó entre 4,000 y 19.4 mil millones de dólares, cuyo paradero se desconoce (al igual que el de Ignatova).

Estafa PlusToken (2019)

PlusToken afectó a usuarios chinos y surcoreanos, pero se considera una de las estafas de criptomonedas más grandes de la historia, con unas pérdidas aproximadas de 3,000 millones de dólares. Como otros muchos scams relacionados con las criptomonedas, el equipo detrás del proyecto, de al menos unas 27 personas, fueron detenidos por la policía china y fueron acusados por implementar un esquema Ponzi.

Estafa Bitconnect (2018)

El mercado de criptomonedas ha visto ir y venir cientos de criptomonedas. Algunas se mantienen en pie desde sus orígenes. Otros proyectos murieron sin hacer demasiado ruido. Unos pocos resultaron ser estafas, como es el caso de Bitconnect, considerado un esquema Ponzi cuyo principal reclamo era la oferta de retornos elevadísimos.

En sus dos años de existencia, el precio del token de Bitconnect pasó de superar los 500 dólares a hundirse por debajo del dólar cuando la plataforma cerró en enero de 2018. Se estima que los gestores del proyecto se apropiaron de 2,400 millones de dólares pertenecientes a unos 4,000 usuarios.

La justicia ha tardado con este caso. En 2022, casi un lustro después, el fundador de BitConnect fue acusado por fraude en Estados Unidos, y hubo que esperar al año siguiente para que se asegurara el reembolso de 17 millones de dólares a 800 víctimas, una cifra irrisoria en comparación con el dinero estafado y los usuarios afectados.

Hackeo de Ronin (2022)

El hack del juego P2E Axie Infinity sigue siendo uno de los más sonados de la historia: 173,600 ETH y 25.5 millones de USDC. Unos 625 millones de dólares fueron sustraídos desde Ronin, la sidechain de Ethereum desarrollada por Sky Mavis, la empresa detrás de Axie.

Los nodos de validación Ronin de Sky Mavis y los nodos de validación Axie DAO se vieron comprometidos usando claves privadas pirateadas para falsificar los retiros. Se descifró cree que Lazarus Group estuvo detrás de este hack, que podría haber explotado una falla del contrato de Ronin para realizar los retiros en USDC y ETH.

La supuesta participación del grupo norcoreano en este y otros hacks llevó a la ONU comentar que Piongyang había financiado su programa de misiles con criptomonedas robadas.

Hackeo de Poly Network (2021)

Uno de los hackeos más importantes de 2021 fue el de Poly Network, la plataforma fue atacada por Mr. White Hat, que consiguió sustraer 611 millones de dólares. Se encuentra entre los hacks más grandes de la historia de las criptomonedas, además de uno de los más peculiares.

Poly Network utilizó su cuenta de X para contactar al hacker, pidiendo la devolución total del dinero. Mr. White Hat accedió, presionado en parte por la empresa de seguridad Web3 SlowMist, que lo identificó. Además, el atacante explicó que su motivación fue divertirse y exponer las vulnerabilidades de este tipo de apps.

Tal y como informó Poly Network en su blog oficial, el hackeo acabó con la devolución de las criptomonedas, además de un pago de medio millón de dólares al hacker y una oferta laboral para unirse al equipo como asesor de seguridad.

Estafa Algorithms Group (2020)

Puede que Algorithms Group no te suene demasiado, pero seguro que has escuchado hablar de Javier Biosca, responsable de la que está considerada uno de los mayores fraudes de criptomonedas en España. El caso quedó en el aire en 2022, cuando Biosca cometió suicidio tras ser declarado culpable por Audiencia Nacional. Aun así, la policía siguió su investigación en contra de sus familiares.

El acusado operaba a través de una compañía afincada en Londres que ofrecía servicios de inversión con BTC con rentabilidades de hasta un 25 % semanal (tal y como indican los medios españoles). Se esperaba que Biosca respondiera ante los miles de afectados que perdieron en torno a 280 y 818.5 millones de euros (cantidades que varían según las fuentes).

Hackeo de FTX (2022)

Aún lejos de terminar, el drama de FTX golpeó duramente al mundo cripto. Esta historia de pérdidas millonarias y una fianza pagada de 250 millones de dólares, que permite la libertad condicional de Sam Bankman-Fried, ex CEO del exchange centralizado (CEX) —la cual fue catalogada por los fiscales como “la más grande previa a un juicio”— también considera un hack de 400 millones de dólares.

Para enterarnos de esto, un administrador del grupo oficial de Telegram de FTX informó a la comunidad de lo acontecido. Además mencionó que tanto el sitio web como la app para smartphones del exchange estarían infectadas con troyanos, sugiriendo a los usuarios no ingresar a ellas.

Tras esto, el medio especializado The Block comenzó a seguir el rastro del hacker. Sin embargo, su CEO renunció en diciembre, pues se supo que habían recibido préstamos desde FTX por 40 millones de dólares. Esto, bajo el silencio total por parte de SBF.

Hackeo de Wormhole (2022)

Antes de FTX, el ataque a Wormhole Bridge era considerado el segundo hack cripto más grande de la historia. En este caso, el exploit fue de 320 millones de dólares. Esto se perpetró luego de que el atacante acuñara 120,000 wETH (Wrapped Ethereum) en la red de Solana, de los cuales 93,750 fueron cambiadas por ETH, en la red de Ethereum. A su vez, 40,000 ETH habían permanecido en Solana.

Debido a la trazabilidad que ofrece la tecnología blockchain, el equipo de Wormhole se contactó con la persona detrás del exploit. En su momento, le ofrecieron un acuerdo de 10 millones de dólares si es que devolvía los wETH acuñados y compartía los detalles del ataque.

Para tranquilizar a los usuarios, Wormhole informó desde Twitter que la vulnerabilidad fue rápidamente parcheada. No obstante, la seguridad de los bridges ha sido muy cuestionada, al punto de que Vitalik Buterin, cofundador de Ethereum, escribió en Reddit que no serán populares en el futuro.

Hackeo de PancakeBunny (2021)

PancakeBunny se usaba para hacer staking y farming de forma sencilla. El atacante aprovechó un bug en el cálculo de creación de nuevos tokens BUNNY y la opción de préstamos flash en PancakeSwap. Logró quedarse con 200 millones de dólares al manipular el precio de BUNNY y BNB para su beneficio.

Este acto no puso en riesgo los tokens de los usuarios, pero ocasionó que PancakeBunny decreciera desde los 200 dólares hasta los 9,3 en un solo día, al vender de golpe casi 700.000 tokens BUNNY. Así, los que holdeaban esta cripto para generar ganancias pasivas sufrieron una enorme desvalorización de sus activos.

El único mensaje que quedó registrado después del hack fue “¿Acaso los préstamos flash no son irritantes?”. En cuanto al valor actual de BUNNY, lo cierto es que no ha sido capaz de recuperarse, ya que a finales de 2021 es de 1.21 dólares.

Hackeo de Nomad Bridge (2022)

La seguridad de las finanzas descentralizadas (DeFi) se vio nuevamente vulnerada el 1 de agosto de 2022, cuando casi la totalidad de la liquidez del bridge Nomad fue drenada. Similar al caso de Wormhole, un exploit ocasionó el robo de aproximadamente 190 millones de dólares en wETH y BTC.

La actualización de un contrato inteligente permitió el ataque, falsificando transacciones. Sumado a esto, los atacantes suplantaron la identidad de empleados de Nomad, aprovechando la popularidad del bridge: unos días antes, había recaudado 22 millones de dólares procedentes de inversores como Coinbase, Polygon y OpenSea.

Hackeo de Beanstalk Farms (2022)

Un ataque único en su tipo fue el que sufrió Beanstalk Farms, una plataforma de código abierto de stablecoins basadas en crédito. En abril, un hacker utilizó el protocolo de gobernanza del proyecto para votar y enviarse a sí mismo 182 millones de dólares.

De acuerdo a la firma de seguridad, el atacante utilizó un flash loan para obtener una participación mayoritaria en el protocolo y poder eludir la mayoría de votos de dos tercios, pero su beneficio real solo rondó los 80 millones de dólares.

Hackeo de Wintermute (2022)

En el robo de 160 millones de dólares que sufrió Wintermute, un creador de mercado algorítmico de criptoactivos, estuvieron presentes las vanity adresses, que son wallets cuya clave pública poseen caracteres legibles y deseados para su dueños. A través de una nota de blog, Mudit Gupta, Jefe de seguridad de la información de Polygon, dio cuenta de esto:

“Eché un vistazo rápido y mi mejor suposición es que fue un compromiso de monederos debido al error Profanity que se reveló públicamente hace unas semanas. La bóveda solo permite que los administradores realicen estas transferencias y el monedero de Wintermute es un administrador, como se esperaba. Por lo tanto, los contratos funcionaron como se esperaba, pero la dirección del administrador probablemente se vio comprometida”.

Dichas direcciones se pueden realizar con Profanity, cuyo desarrollo se encuentra inactivo y su uso es “bastante arriesgado” para su propio creador. El CEO de Wintermute, Evgeny Gaevoy, informó que era muy probable que el hack estuviese relacionado con su monedero comercial DeFi.

Hackeo de BitMart (2021)

A comienzos de diciembre, el exchange centralizado BitMart fundado en 2018 por Sheldon Xia, fue víctima de uno de los hacks más importantes de fin de año, ya que de acuerdo a sus declaraciones oficiales, el 4 de diciembre fueron sustraídos 150 millones de dólares en criptomonedas a causa de un ataque cibernético.

Sin embargo, la firma de seguridad en tecnología blockchain Peckshield, afirmó que la suma del hack fue cercana a 200 millones de dólares. El ataque fue posible a raíz del robo de una clave privada que entregaba el acceso a las hot wallets del exchange, específicamente las compatibles con la red de Ethereum y la Binance Smart Chain (BSC).

Como era de esperar, Sheldon Xia comunicó rápidamente que los usuarios afectados serán compensados. Además, las comunidades de Huobi y Shiba Inu expresaron su intención de ayudar a BitMart a rastrear las criptomonedas robadas.

Días después del ataque, se comentó que los hackers vendieron los tokens a través del exchange descentralizado 1inch. Después, fueron transferidos a distintos monederos utilizando un mixer o mezclador de criptomonedas llamado Tornado Cash, haciendo más difícil el trabajo de encontrar a los responsables.

Hackeo de Maiar (2022)

A mediados de junio, el exchange descentralizado (DEX) Maiar, de la blockchain de Elrond, sufrió un exploit que le permitió al atacante sustraer 113 millones de dólares en tokens Elrond Gold (EGLD).

En esta ocasión, el hacker desplegó un contrato inteligente y utilizó tres monederos para retirar 800,000, 400,000 y 450,000 EGLD. Después vendieron de forma inmediata 800,000 tokens en Maiar, y lo restante fue intercambiado en exchanges centralizados por ETH.

Hackeo de Mango Markets (2022)

Un día antes del informe publicado por Chainalysis, la plataforma Mango Markets, de la red de Solana, sufrió un exploit que le permitió al hacker sustraer más de 100 millones de dólares. A diferencia de los casos anteriores, la persona detrás del hecho, llamado Avraham Eisenberg, reconoció ser el artífice a través de su Twitter.

A causa de esto, la liquidez de Mango fue drenada, lo que ocasionó la pérdida de los activos por parte de sus usuarios. Por lo mismo, la comunidad acordó con Eisenberg una recompensa de 47 millones de dólares, con el fin de que lo restante sea devuelto.

En el hilo de Twitter, el autor afirmó que sus acciones fueron legales bajo el contexto de este mercado abierto: “Utilizando el protocolo tal y como está diseñado, aunque el equipo de desarrollo no previera completamente todas las consecuencias de establecer los parámetros tal y como están”.

Estafa Arbistar (2021)

La inteligencia artificial y las criptomonedas nos traen otra de las mayores estafas de criptomonedas en España. Los responsables de Arbistar han terminado respondiendo ante Audiencia Nacional, dejando en el camino a más de 32 mil inversores y unas pérdidas superan los 100 millones de dólares.

El líder de Arbistar está en prisión por una estafa consistente en la instalación de un bot que, en teoría, generaba beneficios y los añadía directamente en las cuentas de los usuarios. El software no llegó a existir nunca: los estafadores operaban con el dinero de los depositantes para proyectar la ilusión de una estructura de inversión totalmente operativa y automatizada.

Hackeo de Horizon Bridge (2022)

En el último de los hacks de la lista, reaparecen dos actores ya mencionados anteriormente en el top: los bridges y Lazarus Group. En junio, el bridge Horizon de Harmony Protocol sufrió un exploit de 100 millones de dólares. Esta vez, el pirata robó varias altcoins antes de enviarlas a un monedero de Ethereum.

Respecto a los bridges, Ronghui Gu, cofundador de CertiK, proyecto blockchain enfocado en la seguridad, detalló que estos son: “Un objetivo atractivo para los piratas informáticos: mantienen millones de dólares en tokens en lo que es esencialmente un contrato de custodia, y al operar a través de múltiples cadenas multiplican sus posibles puntos de fallo”.

De acuerdo a una investigación realizada por Elliptic, una firma de seguridad, los hackers de origen asiático Lazarus Group estarían detrás del hack del bridge Horizon de Harmony Protocol, debido a que el método de lavado lleva sus características.

Estafa Generación Zoe (2017)

Leonardo Cositorto es la cara visible de una de las estafas más escandalosas dentro de la comunidad de cripotmonedas de habla hispana. Aunque contaba con su propio token (ZOE Cash) este Ponzi multifacético iba mucho más allá de las criptomonedas, incluyendo negocios financieros, hamburgueserías, veterinarias y bienes inmuebles.

Hay miles de afectados en multitud de países, incluyendo Colombia, México, Bolivia, Perú, Ecuador, Uruguay y Argentina. Cositorto prometía retornos del 7.5 % mensual para inversiones iniciales de entre 500 y 2,000 dólares. La cantidad estafada es incierta, debido a la multitud de causas abiertas.

El volumen de inversores estafados por Generación Zoe alcanza de cientos de afectados, que podrían haber perdido hasta 15 millones de dólares en un solo caso.

Empresas de seguridad Web3

Las empresas de seguridad Web3 son responsables de garantizar que las plataformas y aplicaciones basadas en blockchain estén protegidas contra todo tipo de riesgos y amenazas. Entre sus servicios, destacan las auditorías de contratos inteligentes y las respuesta a incidentes.

Immunefi

Immunefi es la plataforma líder de recompensas por errores para contratos inteligentes y proyectos DeFi, donde los investigadores de seguridad pueden revisar el código, revelar vulnerabilidades, ganar dinero y ayudar a que las criptomonedas sean más seguras.

A través de recompensas por errores y servicios de seguridad integrales, Immunefi elimina los riesgos de seguridad. Immunefi ha trabajado con SushiSwap, Synthetix y Chainlink y tiene recompensas activas con MakerDAO y ApeCoin.

Forta

OpenZeppelin fundó Forta en 2021. Ahora es un proveedor de confianza para aplicaciones como Compound, Lido y MakerDAO. Es una red descentralizada construida sobre Ethereum y Polygon.

La red de seguridad impulsada por la comunidad de Forta ha protegido con éxito decenas de miles de millones de dólares en activos valiosos de posibles ataques gracias a una sólida base de soporte, numerosos protocolos y usuarios individuales.

Quantstamp

Quantstamp es una empresa de seguridad blockchain que ha realizado más de 250 auditorías y ha obtenido un valor de más de 200 mil millones de dólares.

Su misión es aumentar la accesibilidad de la tecnología blockchain proporcionando servicios de seguridad y evaluación de riesgos.

Los servicios de Quantstamp incluyen seguridad blockchain de Capa 1 para Ethereum y Solana, así como aplicaciones NFT y DeFi basadas en contratos inteligentes, como OpenSea y Maker.

ChainSecurity

ChainSecurity, con sede en Suiza, se centra en la protección de contratos inteligentes. Proporciona servicios de auditoría manuales y automatizados para contratos inteligentes creados en Ethereum. Los clientes incluyen PwC (PriceWaterhouseCoopers) y MakerDAO.

ConsenSys Diligence

En la industria blockchain, la seguridad es fundamental. Todo el mundo necesita un servicio integral de auditoría de contratos inteligentes para lanzar y mantener sus aplicaciones de blockchain de Ethereum. Ahí es donde entra ConsenSys Diligence.

Proporcionan una selección integral de servicios de seguridad, como auditoría de contratos inteligentes, pruebas de seguridad y respuesta a incidentes. Su equipo de profesionales tiene una gran experiencia en tecnología blockchain. Ha colaborado con éxito con Gnosis y Kyber Network.

Preguntas frecuentes