Un sitio web malicioso que se hizo pasar por la casa de intercambio HitBTC podría haber obtenido 15 millones de dólares de usuarios desprevenidos. La versión maliciosa de la casa de intercambio habría estado operando desde julio del pasado 2022 impunemente.
El pasado lunes, el equipo de la plataforma de cumplimiento de criptomonedas MistTrack publicó un hilo en Twitter destapando la estafa detrás de un sitio web fraudulento enmascarado bajo el nombre de HitBTC. MistTrack ha categorizado la estafa como un claro caso de «phishing», en este caso el sitio web fraudulento se estaría haciendo pasar por la plataforma real, como es el caso de la casa de intercambio HitBTC, para aprovecharse de usuarios desprevenidos.
HitBTC es una plataforma de intercambio de activos digitales perteneciente a SlowMist, una empresa enfocada en ciberseguridad y criptomonedas. La plataforma se lanzó en el año 2013 y ha pasado desapercibida contando con pocos usuarios y volumen de operaciones, sin embargo, no parece haber pasado desapercibida para un grupo desconocido de estafadores.
Los investigadores habrían determinado que estos estafadores crearon el sitio web hitbt2c.lol, recreando el sitio web de HitBTC, hitbtc.com. El sitio web se creó con la intención de hacer creer a los usuarios que estaban en la plataforma original y así conectasen sus billeteras y depositasen activos en la misma. Estos fondos no llegarían a los perfiles de los usuarios, sino que se dirigirían directamente a las direcciones personales de los estafadores.
Según la investigación de MistTrack se han detectado 4 direcciones diferentes relacionadas con los estafadores, dos de las direcciones pertenecen a la red Ethereum, una a la red Tron y la restante a la red Bitcoin, son las siguientes:
3BvQyAZwBXxk7rEStd6burfQgQ5AD2FFsq (BTC). TCV1cN2iRG1F1NHwr3GnujhNkEbBoXdZs8 (USDT en Tron).
0xB59299A0F15a282Bfc671BC0c2231184292C01b1 (ETH). 0xdc961cF2F71dd0ab4f83eA294dBfEF1970ae15c6 (ETH).
El comienzo de la actividad delictiva se remonta a junio del 2022, momento en el que se realizarían las primeras transacciones dirigidas a las billeteras. Se calcula que entre todas las direcciones, los atacantes habrían logrado sustraer uno 15 millones de dólares de los clientes del exchange.
De las 4 direcciones, se conoce que la de la red Bitcoin (BTC) habría recibido más de 52 BTC desde julio del 2022. Actualmente, solo una dirección de las 4 implicadas sigue activa, colocándose como la supuesta dirección principal de la estafa.
¿Cómo lavaban los fondos los estafadores de HitBTC?
Los estafadores utilizan cada vez métodos más sofisticados para blanquear los activos sustraídos de la forma más rápida y sin dejar un rastro. En esta ocasión, se utilizaba un proceso que movía los activos de una red a otra, aprovechándose de los servicios de comercio extrabursátiles (OTC).
Los activos sustraídos pertenecientes a la red Bitcoin serían enviados desde la dirección ya conocida a uno de estos mercados OTC. Estas plataformas permite la compra y venta de activos fuera de las grandes plataformas centralizadas. La plataforma utilizada por los estafadores de HitBTC procedía de la siguiente manera:
El Bitcoin (BTC) enviado se intercambiaba por Wrapped Bitcoin (wBTC), de la red Ethereum, utilizando un servicio lanzado por BitGo, Kyber Network y Ren en el 2018. La dirección del OTC envía el BTC que recibe a la dirección oficial de reserva del protocolo wBTC, que pertenece a uno de los custodios autorizados de wBTC. Este proceso se lava los activos robados enviándolos directamente a las reservas de un protocolo fiable.
En el caso de las direcciones de Ethereum, el proceso era diferente. En ocasiones los activos recibidos eran enviados directamente a casas de intercambio centralizado, como por ejemplo OKX, este método solía usarse si las cantidades de activos eran relativamente pequeñas. En el caso de que las cantidades de activos fuesen mayores, los tokens se enviarían a la casa de intercambio descentralizada (DEX) conocida como Tokenlon. En esta plataforma se solía intercambiar los activos por monedas estables para luego enviarlas diferentes direcciones pertenecientes a OKX.
Una de las direcciones de OKX, relacionada con los estafadores, recibía regularmente activos estables de otra billetera previamente etiquetada como una estafa phishing en Etherscan. Esa billetera no ha vuelto a utilizarse desde diciembre del pasado 2022.
En el caso de la segunda dirección de Ethereum y la dirección referente a la red Tron, no se conoce mucho acerca de las mismas. La dirección de Tron solo recibió 242 USDT y la segunda dirección de Ethereum se ha mantenido vacía.
Todo apunta que los estafadores identificados por MistTrack podría haber llevado a cabo varias actividades fraudulentas, como phishing y otros métodos fraudulentos, de forma simultánea. Los estafadores habrían utilizado diferentes herramientas DeFi para tratar de ocultar su rastro. Además, también habrían empleado métodos centralizados, como el uso de casa de intercambio al uso de corredores OTC, para retirar criptomonedas de manera activa.
La administración de HitBTC ha sido informado acerca de la situación y se espera que actúen para evitar que sus clientes sigan cayendo en esta estafa.
Seguir leyendo acerca de las acusaciones lanzadas por Justin Sun en contra del hermano del fundador de Huobi, puede parecerte interesante.
