Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 169Compromiso de clave privada

Drenaje del puente HECO y HTX

Un compromiso único de operador drenó 87 M$ del puente HECO más 12 M$ de hot wallets de HTX, golpeando ambas plataformas de Justin Sun en 24 horas.

Fecha
Víctima
HECO Bridge / HTX
Cadena(s)
EthereumHECO
Estado
Fondos robados

El 22 de noviembre de 2023, atacantes drenaron aproximadamente 87 millones de dólares del puente HECO —el puente cross-chain que conecta la sidechain HECO de Huobi con Ethereum— y en cuestión de horas se llevaron otros ~12 millones de dólares de las hot wallets de HTX (anteriormente Huobi Global, el exchange afiliado del operador).

Qué ocurrió

El puente HECO estaba asegurado por un multi-firma controlado por operador: un pequeño conjunto de claves privilegiadas autorizaba retiros cross-chain del contrato del puente en el lado de Ethereum. El atacante obtuvo al menos el quorum de esas claves y drenó las reservas del puente en USDT, HBTC, SHIB, UNI, USDC, LINK, ETH y TUSD hacia cuentas externas.

Casi inmediatamente después, el exchange HTX sufrió un drenaje relacionado: los atacantes usaron acceso de firma para extraer aproximadamente 12 M$ en activos adicionales de hot wallets de HTX. La proximidad temporal y el solapamiento en direcciones del atacante sugerían fuertemente el mismo operador y el mismo compromiso raíz, probablemente un sistema compartido de gestión de claves que controlaba tanto las operaciones del puente como la custodia del exchange de la infraestructura afiliada a Justin Sun.

Consecuencias

  • Justin Sun confirmó públicamente las brechas y se comprometió a compensar plenamente a los usuarios afectados con reservas corporativas.
  • El puente HECO fue pausado y las operaciones migradas.
  • Los fondos robados fueron lavados mediante Tornado Cash, con análisis posteriores mostrando más de 145 M$ en volumen de lavado vinculado a este atacante durante las semanas siguientes.

Por qué importa

HECO es uno de varios incidentes (Multichain a principios del mismo año, colapsos cercanos a FTX, múltiples ejemplos de la era Bybit) que ilustraron la misma lección en la capa de infraestructura compartida por negocios afiliados: cuando un mismo operador gestiona el puente, el exchange y la cadena, un único compromiso de gestión de claves puede tumbar los tres a la vez. La mitigación estándar de la industria —almacenes de claves aislados por hardware por servicio, sin autoridad de firma compartida— se volvió visiblemente más común en los manuales de operadores tras este período.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-heco-bridge-hack-november-2023
  2. [02]immunebytes.comhttps://immunebytes.com/blog/heco-bridge-exploited-for-over-87m-in-a-suspected-private-key-leak/
  3. [03]blockworks.cohttps://blockworks.co/news/htx-hack-ethereum-crypto-assets

Registros relacionados