Despedido y malpagado, un miembro de un grupo chino de hackers delata a sus cómplices por el bajo pago
Cómo vaciar carteras cripto por siete millones y pelearse por la recompensa
Un grupo de hackers chino se hacía pasar por una empresa de ciberseguridad y, según sus propias declaraciones, robó criptoactivos por millones de dólares. La historia se hizo pública tras un conflicto interno. Uno de los miembros quedó insatisfecho con los pagos y reveló los detalles del esquema.
El equipo operaba bajo el nombre Wuhan Anshun Technology y públicamente se presentaba como especialistas en búsqueda de vulnerabilidades y protección de sistemas. En realidad, según la filtración, los miembros se dedicaban al robo de frases mnemónicas y al vaciado de billeteras en distintas redes, incluidas Ethereum, BNB Chain y Arbitrum. Para buscar objetivos, el grupo desarrolló herramientas que probaban automáticamente frases mnemónicas y localizaban billeteras con grandes sumas.
Los ataques se basaban en la cadena de suministro. Según el autor de la filtración, los atacantes se infiltraban en aplicaciones basadas en Electron, en extensiones de navegador y empleaban programas de acceso remoto. A través de esos canales conseguían obtener datos de billeteras y transferir fondos a sus direcciones. En total se trata de 37 tipos de tokens y aproximadamente 7 millones de dólares. Para ocultar rastros, los fondos se fragmentaban y se realizaban numerosas transacciones.
El conflicto dentro del grupo empezó por dinero. Uno de los miembros consideró que recibió menos de lo debido y no esperó la compensación prometida al salir. Tras la disputa publicó materiales internos y declaró su intención de entregarse a las autoridades. No hay confirmación de esas declaraciones por ahora; las autoridades de China no han informado sobre el avance de una posible investigación.
Aunque no haya conclusiones oficiales, la historia muestra con claridad los puntos débiles de las billeteras cripto. El peligro no está solo en el almacenamiento de las claves privadas, sino en todos los elementos intermedios como actualizaciones, extensiones y clientes de escritorio. Cuando los atacantes usan empresas falsas como cobertura, cualquier capa adicional alrededor de la billetera puede convertirse en un punto de ataque.