Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 006Compromiso de clave privada

Drenaje de wallets de Cryptopia

Un compromiso de infraestructura de wallets barrió ~$16M en ETH y ERC-20s de 76.000+ usuarios de Cryptopia, matando al exchange neozelandés.

Fecha
Víctima
Cryptopia
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

El 13 de enero de 2019, el exchange neozelandés Cryptopia detectó salidas no autorizadas de sus dos hot wallets principales — una que contenía ETH, la otra que contenía tokens ERC-20. El trabajo forense posterior de Elementus reveló que la pérdida no era los $2,5M que Cryptopia inicialmente reportó sino aproximadamente 16 millones de dólares en más de 76.000 wallets de usuarios individuales.

Qué ocurrió

Cryptopia almacenaba los saldos de clientes usando derivación de wallet por usuario — los depósitos de cada cliente residían en una dirección única controlada por la infraestructura interna de gestión de claves de Cryptopia. El atacante comprometió esa infraestructura y obtuvo autoridad de firma sobre las claves privadas de más de 76.000 direcciones de depósito de usuarios.

El drenaje fue sistemático. En lugar de vaciar una sola hot wallet, el atacante barrió miles de direcciones individuales en una ventana de varios días, con una larga cola de extracciones más pequeñas tras el pico inicial. El análisis on-chain de Elementus confirmó que el total alcanzó ~$16M en ETH y tokens ERC-20, frente a la estimación pública inicial de Cryptopia de $2,5M.

Consecuencias

  • Cryptopia pausó las operaciones el 14 de enero, reabrió brevemente, luego presentó protección por quiebra en mayo de 2019, citando la brecha como causa próxima.
  • El exchange fue puesto en liquidación bajo Grant Thornton, que pasó más de cinco años rastreando y recuperando fondos de clientes en wallets, mezcladores y exchanges.
  • En diciembre de 2024, Grant Thornton anunció que había distribuido aproximadamente NZ$400 millones (~US$225M) en criptomonedas a más de 10.000 titulares de cuentas verificados — superando con creces la pérdida original en términos nominales, reflejando tanto la recuperación parcial de fondos como la apreciación del precio de cripto de seis años.

Por qué importa

Cryptopia fue una pérdida relativamente pequeña en dólares absolutos, pero cristalizó dos riesgos operativos para la industria de exchanges de principios de 2019:

  1. La custodia por dirección de usuario no es inherentemente más segura que la custodia agrupada — si el sistema maestro de gestión de claves se compromete, cada dirección derivada se compromete a la vez.
  2. Las recuperaciones por quiebra en cripto pueden tomar media década, y el valor de los activos recuperados en el momento de la distribución puede no guardar parecido con su valor en el momento de la pérdida. Los clientes se benefician de la apreciación de precio; pagan el precio en incertidumbre operativa y tiempo.

La última dinámica se repitió a escala mucho mayor en Mt. Gox y posteriormente FTX, donde retrasos de varios años significaron que los acreedores recibieron sus distribuciones en ciclos que tenían poco que ver con el colapso original.

Fuentes y evidencia on-chain

  1. [01]ccn.comhttps://www.ccn.com/new-zealand-exchange-cryptopia-lost-16-million-in-hack-not-initially-reported-2-5-million-research/
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2019/01/16/new-zealand-police-keeping-open-mind-on-cryptopia-hack/
  3. [03]bravenewcoin.comhttps://bravenewcoin.com/insights/cryptopia-hack-liquidators-distribute-225-million-in-crypto-to-victims

Registros relacionados