La policía de la India arrestó a un sospechoso acusado de hackear WazirX, una exchange de criptomonedas, hace aproximadamente cuatro meses. El incidente resultó en una pérdida superior a 230 millones de dólares (aproximadamente 215 millones de euros) en criptomonedas, lo que llevó a las autoridades a intensificar las investigaciones sobre el robo, que involucró la invasión de las carteras digitales de la plataforma.
Según fuentes locales, el sospechoso, identificado como SK Masud Alam, fue detenido en el distrito de East Midnapore, en Bengala Occidental. Alam habría creado una cuenta en WazirX utilizando el seudónimo «Souvik Mondal». Posteriormente, habría vendido esa cuenta a un cómplice, identificado como M. Hassan, mediante transacciones realizadas en Telegram.
Las investigaciones de la división de Operaciones Estratégicas y Fusión de Inteligencia (IFSO) de la policía de Delhi indican que el cómplice de Alam utilizó esta cuenta para iniciar el ataque, dirigiéndose a los sistemas de almacenamiento de criptomonedas de la exchange, que tiene su sede en Mumbai.
Ataque a la exchange WazirX
Durante el ataque, los criminales comprometieron inicialmente la «hot wallet» (cartera caliente) de la plataforma, que está conectada a Internet y se utiliza para transacciones más frecuentes. Luego intentaron hackear la «cold wallet» (cartera fría), almacenada offline, lo que la hace más segura.
Para rastrear el flujo de las transacciones involucradas en el robo, las autoridades incautaron tres portátiles de los firmantes de las carteras de múltiples firmas (multi-sig) de WazirX, con el objetivo de identificar posibles puntos de explotación o fallos de seguridad.
La investigación encontró obstáculos, especialmente con Liminal Custody, la empresa responsable de la seguridad de las carteras de WazirX. Según información filtrada por la prensa india, Liminal no habría cooperado plenamente, negando acceso a información esencial para la investigación.
Esta postura levantó sospechas sobre los protocolos de seguridad y la transparencia operativa de la custodia, que ahora podría ser objeto de un escrutinio más riguroso.
Investigación
A diferencia de Liminal, WazirX colaboró activamente con las autoridades, proporcionando datos relevantes como información de «know-your-customer» (KYC) y registros detallados de las transacciones. Estos datos fueron fundamentales para que la policía pudiera reconstruir el escenario del ataque y rastrear los movimientos de los sospechosos.
Además de las investigaciones policiales, WazirX contrató a expertos en análisis forense de blockchain para identificar a los autores del hackeo. Entre las teorías que se manejan, algunos analistas sugieren que el ataque podría haber sido llevado a cabo por hackers norcoreanos.
Elliptic, una empresa especializada en diagnóstico on-chain, señaló que el modus operandi y los patrones observados en el ataque coinciden con técnicas comúnmente asociadas a grupos norcoreanos. Investigadores de criptomonedas reconocidos, como ZachXBT, también se han pronunciado al respecto.
ZachXBT sugirió que el ataque podría tener «las marcas potenciales de un ataque del Lazarus Group», un grupo de hackers vinculado al gobierno de Corea del Norte, que ha sido responsable del robo de más de 3.000 millones de dólares (aproximadamente 2.800 millones de euros) de la industria de criptomonedas en los últimos años, incluido el robo de 600 millones de dólares (unos 560 millones de euros) de Ronin Bridge.
La investigación sigue en curso, con las autoridades buscando más pruebas para consolidar el caso.