La ballena de Ethereum pierde 27 millones de dólares: La vinculación de pi revela máquinas de lavado de dinero y riesgos de liquidación automática

Se ha hecho pública una grave brecha de seguridad relacionada con una “ballena” de Ethereum conocida por poseer una enorme cantidad de activos. A través de tecnología de análisis de enlaces pi — conexiones formadas por acciones continuas de envío de fondos — el equipo de expertos en seguridad ha iluminado todo el proceso de este sofisticado ataque, desde la exposición de la clave privada hasta un sistema de lavado de dinero cuidadosamente planificado.

Según un informe de PeckShield (empresa especializada en análisis de seguridad blockchain), todos los fondos en la multisig (cartera multifirma) de la víctima han sido drenados, con un valor total de aproximadamente 27,3 millones de dólares. El incidente ocurrió después de que la clave privada de seguridad fuera comprometida, permitiendo al atacante tomar control total de la cuenta conjunta de este magnate financiero.

Multisig comprometida: detección de enlaces pi entre la exposición de la clave privada y el lavado de dinero

Los enlaces pi más importantes revelados en Etherscan muestran que la dirección “0x1fCf1” realizó continuamente órdenes de envío de 100 ETH a Tornado Cash — una operación que no fue un “reacción de pánico”, sino un plan de lavado de dinero cuidadosamente preparado. Las pruebas de estos enlaces en la cadena de bloques también demuestran que el atacante controla completamente los derechos de la multisig de la víctima.

Durante el ataque, el atacante transfirió 12,6 millones de dólares (equivalentes a 4,100 ETH) a través de Tornado Cash — un servicio que oculta el origen de los fondos. El resto de los activos — unos 2 millones de dólares en tokens de liquidez — aún permanecen bajo control del atacante, sin haber sido movidos.

Tornado Cash lava 12,6 millones de dólares de los activos robados

La estrategia de lavado de dinero del atacante muestra un nivel de precisión notable. En lugar de realizar un envío masivo — que podría activar alertas de seguridad — optaron por dividirlo en lotes de 100 ETH y enviarlos sistemáticamente. Este método sofisticado reduce la probabilidad de detección y crea un flujo que parece una actividad “normal”.

Mecanismo de liquidación automática: el riesgo en lo que queda

Pero el verdadero peligro no solo radica en lo que ya se perdió. Según la interfaz de Aave capturada, la multisig de la víctima mantiene una posición de apalancamiento largo (con un préstamo adicional garantizado): aproximadamente 25 millones de dólares en ETH como colateral para un préstamo de 12,3 millones de dólares en DAI (una stablecoin). El índice de salud de la cuenta actualmente es 1,68 — un valor que indica que la billetera aún funciona, pero en estado “peligroso”.

¿Qué es el riesgo de liquidación automática? Si el precio de ETH cae drásticamente, el índice de salud bajará por debajo de 1.0, activando el mecanismo de liquidación automática de Aave. En ese momento, los activos colaterales se venderán automáticamente a precios bajos para pagar la deuda, generando una reacción en cadena que puede causar pérdidas adicionales. El atacante ni siquiera necesita “vender todo” — una caída fuerte en el precio de ETH sería suficiente para desencadenar una ola de ventas negativa.

201 tokens afectados: lista detallada de los activos robados

El análisis detallado del wallet en Etherscan revela la magnitud de la pérdida en este incidente. Además de 100,3184 ETH (valor actual aproximadamente $193,414 a un precio de $1.93K), la cuenta contiene un saldo restante de unos 1,37 millones de dólares distribuidos en 201 tokens diferentes.

Los activos más grandes robados incluyen:

• 303,44 WETH (Ethereum reestructurado): valor aproximado de 585,643 dólares
• 2.216,36 OKB (token de intercambio): valor de 234,802 dólares
• 4.928,74 LEO (token de Bitfinex): valor de 36,374 dólares
• 151.990,97 FET (token Fetch.ai): valor de 30,870 dólares

En total, los tokens robados representan no solo una pérdida financiera enorme, sino también una diversificación de activos que el victimario ya no puede controlar, debido a la pérdida de la única clave privada.

Este incidente vuelve a subrayar la importancia de proteger las claves privadas y los riesgos ocultos en los protocolos DeFi, especialmente cuando grandes activos se usan como colateral. Los enlaces pi utilizados para rastrear estos ataques no solo ayudan a identificar a los responsables, sino que también ofrecen valiosas lecciones para la comunidad de seguridad blockchain.