Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 003Quiebra de exchange centralizado

Robo de Bitfinex en 2016

Hackers robaron 119.754 BTC ($71M, $9B+ al recuperarse) de las hot wallets multifirma de Bitfinex, recuperados 6 años después vía DOJ.

Fecha
Víctima
Bitfinex
Cadena(s)
Bitcoin
Estado
Recuperado
Atribución
Ilya Lichtenstein

El 2 de agosto de 2016, 119.754 BTC — alrededor de 71 millones de dólares en ese momento — fueron drenados de Bitfinex en 2.072 transacciones no autorizadas. Seis años más tarde, el Departamento de Justicia de EE. UU. recuperó la gran mayoría de las monedas robadas e imputó a los blanqueadores, incluyendo a Heather "Razzlekhan" Morgan, una desafortunada rapera, y su marido Ilya Lichtenstein.

Qué ocurrió

Bitfinex mantenía la mayor parte de las reservas de Bitcoin de clientes en un esquema multi-firma operado por BitGo. La configuración específica del exchange — incluyendo cómo se implementaban los límites de retirada y los flujos de aprobación — era confidencial, pero la brecha mostró que los controles operativos en torno al servicio de co-firma de BitGo no eran tan estrictos como sugerían las matemáticas multi-firma.

El atacante comprometió los sistemas internos de Bitfinex y obtuvo las credenciales necesarias para enviar solicitudes válidas de retirada a escala. La API de co-firma de BitGo las autorizó sin elevar las alertas que deberían haber marcado el volumen. Para cuando se asentó el polvo, el atacante había movido 119.754 BTC a una wallet bajo su control.

El ladrón — Lichtenstein — entonces se sentó sobre los fondos durante años, intentando lentamente blanquearlos mediante chain-hopping, mezcladores y mercados oscuros. Mantuvo la semilla de la wallet en un archivo cifrado.

Consecuencias

  • Bitfinex inicialmente socializó la pérdida entre las cuentas de clientes (un controvertido "haircut" de todos los saldos del ~36%) y emitió tokens de deuda BFX, luego tokens LEO, para representar el saldo no pagado.
  • En febrero de 2022, el DOJ desclasificó la imputación: los agentes habían descifrado el archivo de wallet de Lichtenstein (supuestamente vía una incautación de almacenamiento en la nube) y recuperado más de 94.000 de los BTC robados — valorados en aproximadamente $3,6 mil millones al momento de la incautación y más de $9 mil millones para la sentencia de 2024.
  • Lichtenstein se declaró culpable y fue sentenciado a 5 años en prisión federal; Morgan recibió 18 meses.
  • El DOJ ha dictaminado que los fondos recuperados deben ser devueltos "en especie" (como BTC) a Bitfinex. Bitfinex se ha comprometido a usar el 80% de los fondos recuperados para recomprar y quemar sus tokens LEO pendientes, distribuyendo valor a los clientes que absorbieron la pérdida original.

Por qué importa

Bitfinex es el único gran hackeo cripto cuya recuperación superó la pérdida original en dos órdenes de magnitud — consecuencia de un atacante que no pudo blanquear los fondos antes de que el precio de Bitcoin se disparase. También es la operación más exitosa de recuperación forense de criptomonedas en la historia del DOJ, y la plantilla de cómo la forense on-chain + incautaciones dirigidas de material de claves off-chain pueden romper incluso operaciones de blanqueo de varios años.

Fuentes y evidencia on-chain

  1. [01]en.wikipedia.orghttps://en.wikipedia.org/wiki/2016_Bitfinex_hack
  2. [02]trmlabs.comhttps://www.trmlabs.com/resources/blog/ilya-lichtenstein-sentenced-for-role-in-bitfinex-hack-in-razzlekhan-case-as-government-recovers-about-10-billion-in-stolen-funds
  3. [03]chainalysis.comhttps://www.chainalysis.com/blog/bitfinex-hack-plea-july-2023/

Registros relacionados