4 preguntas sin respuesta sobre el hack de Bitfinex

Ayer recibimos noticias sorprendentes sobre el arresto de una pareja de Nueva York, Ilya “Dutch” Lichtenstein y Heather R. Morgan, por su presunto papel en el intento de blanquear Bitcoin que ahora valen la asombrosa cantidad de 4.600 millones de dólares. Ese Bitcoin fue robado del intercambio global Bitfinex en agosto de 2016, y en la media década transcurrido desde entonces, ha habido poca información adicional sobre el ataque.

Ese largo silencio (junto con lo que llamaremos algunos factores más líricos ) generó una intensa fascinación por las noticias de ayer. Pero por mucho que aprendimos, todavía hay muchas cosas que no sabemos, incluidas preguntas pendientes que podrían llevarnos a una madriguera mucho más profunda. Algunas de las incógnitas más importantes tienen que ver con el hack en sí, las consecuencias comerciales del hack y el comportamiento desconcertante de los presuntos blanqueadores durante el período en el que se les acusa de intentar lavar el BTC robado.

Este artículo está extraído de The Node, el resumen diario de CoinDesk de las historias más importantes sobre blockchain y Cripto . Puede suscribirse para recibir el boletín completo aquí .

Como es de esperar, lidiar con preguntas sin respuesta implica cierta especulación. He hecho todo lo posible para resaltar dónde aparece esa especulación, pero aquí estamos fuera del mapa en general, así que tome lo que sigue en gran medida como una serie de hipótesis y experimentos mentales.

Un elemento crucial, pero fácilmente pasado por alto, de los cargos de ayer es que no alegan que Lichtenstein y Morgan fueran responsables del hackeo inicial de Bitfinex. Los cargos no ofrecen ninguna teoría específica sobre cómo llegaron a poseer las claves privadas que controlan las monedas. Una posibilidad es que la pareja haya comprado el BTC a los piratas informáticos iniciales con un descuento. Otra es que simplemente actuaban como agentes de los piratas informáticos, aunque eso es menos probable dado su control directo de las claves.

Sin embargo, existe alguna razón circunstancial para creer que la pareja podría haber estado involucrada en el hackeo y el Departamento de Justicia simplemente no tenía pruebas suficientes para acusarlos de algo más que lavado de dinero.

La evidencia más intrigante (aunque nuevamente completamente circunstancial) es que Morgan parece haber estado abiertamente obsesionado con la “ingeniería social”, un tipo de piratería informática que se centra en comprometer a las personas en lugar del código. En una extensa presentación realizada en la serie de eventos NYC Salon , describió los métodos de engaño e intimidación que había utilizado en ejercicios del mundo real para influir en las personas y obtener acceso a espacios y organizaciones.

Esto es particularmente intrigante dada la naturaleza del hack original, que implicó comprometer las protecciones de firmas múltiples que pasaban por el proveedor de seguridad BitGo. En el informe de CoinDesk en ese momento, Michael McSweeney escribió que "para retirar una cantidad tan grande de fondos, BitGo probablemente habría tenido que aprobar esas transacciones", debido a una capa de seguridad de múltiples firmas implementada para los usuarios de Bitfinex. Eso plantea la posibilidad de que la ingeniería social estuviera involucrada en el hackeo.

Se ha observado que Morgan entrevistó a Matt Parrella, ex director de cumplimiento de BitGo, para una columna de Forbes de 2020 titulada, sorprendentemente, "Los expertos comparten consejos sobre cómo proteger su negocio de los ciberdelincuentes". Eso es sorprendente, pero puede que no signifique mucho dado que Parrella solo estuvo brevemente empleado en BitGo en 2019 y 2020.

Una de las cosas realmente extrañas reveladas en los documentos de acusación de ayer es que las autoridades afirman que pudieron confiscar el BTC robado después de acceder a las claves privadas que Lichtenstein/Morgan había almacenado en un servicio en la nube. Mantener las claves privadas fuera de línea en todo momento es ONE de los principios de seguridad más fundamentales de la gestión de Cripto , y es inverosímil que alguien que se dedica a lavar Cripto a una escala tan grande no sea consciente de ello.

Hay algunas formas no conspirativas de entender las claves que se almacenan en línea. Lo más importante es que las claves estaban cifradas, lo que al menos puedes imaginar que alguien racionalice como seguro.

El investigador de Cripto Eric Wall sugirió además que, a pesar de las afirmaciones en los documentos de acusación, es posible que las autoridades no hayan descifrado las claves. En cambio, es posible que los culpables hayan entregado las llaves cuando fueron confrontados. Eso también podría explicar por qué una gran parte de las monedas robadas fueron trasladadas el 1 de febrero . Quizás los blanqueadores acusados ​​estaban demostrando que las claves funcionaban antes de entregar su botín a los federales.

También vale la pena recordar que el BTC en cuestión valía alrededor de $70 millones en el momento del hack. Se disparó a varios miles de millones en el transcurso de cinco años, posiblemente superando la capacidad de los culpables para mejorar sus prácticas de seguridad.

Desafortunadamente, tenemos que hablar de Razzlekhan, la extraña y vergonzosa personalidad del rap de Morgan. Morgan inundó TikTok y YouTube con extraños cebos de influencia, incluido mucho rap, mientras también escribía contenido comercial y tecnológico para la siempre incompleta red de colaboradores de Forbes. Lichtenstein publicó al menos una publicación en Medium sobre Cripto y publicó sobre Cripto en Twitter. Este contenido, parte del cual se convirtió en privado después de los arrestos, es sólo un hilo conductor de la extensa presencia web de Morgan y, en mucha menor medida, de Lichtenstein.

La pregunta es sencilla: ¿por qué? La mayor parte de esa actividad tuvo lugar después de que la pareja controlara una fortuna en Bitcoin . ¿Por qué estarías persiguiendo influencia en línea si tuvieras tanto dinero? (Es probable que Morgan ganara menos de 100 dólares por cada contribución a Forbes).

Al final, sólo podemos especular. Pero la respuesta probablemente involucra impulsos muy personales, particularmente el deseo de reconocimiento y respeto. Parece claro que Morgan y Lichtenstein querían ser vistos como empresarios serios (aunque creativos y extraños).

Por ejemplo, los dos se presentaron como socios en Demandpath , un supuesto fondo de inversión centrado en "sistemas distribuidos, plataformas en la nube e IA (inteligencia artificial) basada en datos". Todavía no he desenterrado información sobre sus inversiones, por lo que todo esto puede haber sido un BIT un LARP , como suele serlo la "inversión ángel" en Cripto. Morgan también se representó a sí misma como directora ejecutiva de una empresa de marketing por correo electrónico llamada Salesfolk.

Lo más increíble es que Morgan no dejó de publicar incluso cuando los muros se estaban cerrando. En el tribunal el martes, el abogado defensor supuestamente dijo que los acusados ​​sabían que estaban bajo investigación desde noviembre. Pero el 2 de febrero, apenas una semana antes de su arresto, Morgan publicó sobre un artículo de ventas entre empresas en el que estaba trabajando para la revista Inc. Quizás el conocimiento de la investigación impulsó a Morgan a redoblar su apuesta por un negocio que realmente podría generar ingresos. dinero, porque el monitoreo hacía que mover sus BTC fuera extremadamente peligroso.

Vale la pena señalar que la presencia de Morgan en línea parece distorsionar la percepción del caso. Su rap y su interés en la ingeniería social la convierten en una sospechosa intrigante. Pero en una audiencia previa al juicio ayer, un juez de Nueva York fijó la fianza de Ilya Lichtenstein en 5 millones de dólares, pero la fianza de Morgan en sólo 3 millones de dólares, lo que puede sugerir que el tribunal cree que Lichtenstein tiene más responsabilidad y enfrenta consecuencias más duras que Morgan.

El hackeo original de Bitfinex ocurrió a principios de agosto de 2016. Aquí está el informe contemporáneo de CoinDesk sobre los Eventos . El hackeo, y especialmente los esfuerzos de Bitfinex por recuperarse de él, han generado una serie de teorías de conspiración y especulaciones que a menudo involucran sospechas de posibles malas prácticas por parte de Bitfinex y sus asociados.

Después del hack, Bitfinex tomó un movimiento radical, imponiendo pérdidas a sus usuarios en forma de un "recorte" de aproximadamente el 36% en los saldos. Aquellos que se cortaron el pelo recibieron a cambio “Tokens de derechos de recuperación” con el símbolo BFX. Estos tokens fueron reembolsados ​​y canjeados en su totalidad antes del 4 de abril de 2017 . La narrativa oficial fue que Bitfinex aumentó el volumen de operaciones en ese momento y rápidamente recuperó el dinero que había perdido en el hack.

Ver también: Un puente llamado Tether | Opinión

Pero el token BFX se denominó y se devolvió en USD, no en BTC. Bitcoin aproximadamente duplicó su precio entre el hackeo y el pago, por lo que, en igualdad de condiciones, los usuarios de Bitfinex perdieron dinero incluso después de canjear sus tokens BFX.

Pero eso no es todo: como señalaron los comentaristas en ese momento, el token BFX ayudó a reducir aún más las responsabilidades de Bitfinex . Algunos tenedores, sin confianza en la capacidad de Bitfinex para pagar, arrojaron el token al mercado por tan solo 49 centavos de dólar , y el intercambio reconoció haber recomprado los tokens al valor de mercado, lo que significa que obtuvo un descuento aún mayor contra la responsabilidad del BTC robados.

Eso, combinado con el hecho de que el hack implicó comprometer la seguridad de múltiples firmas, ha generado una considerable especulación de que el hack podría haber sido un "trabajo interno". Los organismos de control como Bitfinex habrían especulado que el hack estaba relacionado con el Explora posterior de deficiencias en la operación hermana de Bitfinex, Tether, y que el corte de pelo y el token BFX pueden haber ayudado a disimular otros problemas en el intercambio. Todavía tengo que ver alguna prueba irrefutable de esto, pero el juicio de Morgan y Lichtenstein podría ofrecer nuevas revelaciones sobre esas extrañas maniobras.