Ballena criptográfica hackeada por 27,3 millones de dólares

Una ballena de criptomonedas vio sus fondos borrados a través de un exploit en su billetera multifirma 1-1, que desvió más de $25 millones en activos digitales.

La firma de seguridad blockchain PeckShield emitió una alerta sobre X el jueves, informando que la ballena había sido hackeada por aproximadamente $27.3 millones. Los fondos robados se están canalizando a través de la herramienta de privacidad en cadena Tornado Cash en lotes de 100 ETH, según datos de Etherscan.

#PeckShieldAlert La cuenta Multisig de una ballena fue robada por aproximadamente 27,3 millones de dólares debido a una vulneración de su clave privada.

El drenador ha lavado $12,6 millones (4100 $ETH) a través de #TornadoCash y retiene ~$2 millones en activos líquidos.

El destructor también controla la multifirma de la víctima, que mantiene una posición larga apalancada… pic.twitter.com/1Ulk4X7bkl

— PeckShieldAlert (@PeckShieldAlert) 18 de diciembre de 2025

PeckShield afirmó que el atacante tomó el control de la clave privada y se convirtió en el único firmante de la billetera multifirma. Una vez obtenido el acceso, el drenador comenzó atracmaticactivos y a blanquearlos en la cadena.

El hacker de billetera multifirma aún tiene 2 millones de dólares de los fondos robados

Según PeckShield, el atacante, que utiliza la dirección 0x1fCf…367d23Ac, ya ha blanqueado aproximadamente 12,6 millones de dólares, equivalentes a 4100 Ether, a través de Tornado Cash. La empresa de seguridad añadió que el drenador aún conserva alrededor de 2 millones de dólares en activos líquidos, según los saldos de las billeteras registrados al momento del informe.

Varios analistas de seguridad creen que el atacante controla la billetera multifirma de la víctima, la cual mantiene una posición apalancada importante en Aave. Según se informa, la billetera cuenta con aproximadamente 25 millones de dólares en Ether como garantía frente a unos 12,3 millones de dólares prestados en DAI.

La dirección del atacante, compartida públicamente por PeckShield, contiene Ether, Wrapped Ether, OKB, Trust Wallet Token, Bitfinex LEO, Fetch y Nexo. Hasta el momento, han depositado Ether robado en Tornado Cash en lotes de igual tamaño que suman 4100 Ether, divididos en 41 transacciones de 100 Ether cada una.

A última hora del miércoles, la empresa de análisis de blockchain Specter ofreció más detalles sobre la brecha de seguridad al publicar un desglose de la secuencia del ataque. El analista mencionó que la filtración de la clave privada de una víctima elevó las pérdidas totales del incidentedent cerca de 38 millones de dólares.

Según Specter, la víctima creó una billetera multifirma configurada como un sistema 1 a 1 el 11 de abril de 2025 a las 07:48:11. Poco después de transferir fondos a la billetera, la billetera principal, designada como firmante, experimentó una salida masiva de fondos a las 08:23:23.

Aunque la causa exacta de la filtración sigue sin estar clara, Specter sugirió que la clave privada podría haberse filtrado durante el proceso de configuración de la multifirma. Otra posibilidad planteada fue que la víctima recurriera a un agente malicioso para obtener ayuda durante la creación de la billetera multifirma.

La ballena 0xde5f44…b051e965 había sufrido pérdidas notables en mayo, según el tracde la plataforma de análisis Onchainlens, que descubrió que el inversor retiró 2.520,5 Ether, valorados en aproximadamente 4,52 millones de dólares en ese momento, de OKX y los puso en staking con Kiln Finance.

A lo largo del año, la ballena supuestamente hizo staking de un total de 9918 Ether, con un valor de 22,58 millones de dólares, alrededor de julio. A pesar de obtener 105,5 Ether en recompensas por staking, el inversor aún enfrentaba una pérdida neta de aproximadamente 4,26 millones de dólares antes de que se produjera el último exploit.

Las billeteras multifirma pueden ser pirateadas sin el umbral de firma necesario

La mayoría de los miembros de la comunidad cripto creen en de las billeteras multifirma porque requieren la aprobación de dos o más entidades antes de ejecutar una transacción. Algunas configuraciones en este tipo de billeteras incluyen sistemas como 2 de 3 o 3 de 5, donde el primer número del sistema representa el umbral de titulares de claves que deben aprobar un intercambio o una operación. 

Sin embargo, configuraciones como 1 de 1, donde solo se requiere un firmante, socavan el beneficio principal de la protección multifirma. En tales casos, la vulneración de una sola clave puede provocar la pérdida total, como parece haber ocurrido en el caso de la ballena 0xde5f44…b051e965. 

En un caso separado, visto en septiembre de este año, un inversor de criptomonedas nodentperdió más de 3 millones de dólares tras autorizar, sin saberlo, untracmalicioso. El investigador de blockchain ZachXBT denunció eldent en su canal de Telegram, revelando que la billetera de la víctima fue vaciada de 3,047 millones de dólares en USDC y canjeada por Ether para ser transferida a través de Tornado Cash.

El fundador de SlowMist, Yu Xian, explicó posteriormente que la dirección comprometida en ese caso era una billetera multifirma segura 2 de 4. Continuó afirmando que eltracfraudulento imitaba los primeros y últimos caracteres de la dirección real, lo que dificultaba la detección del engaño. 

El atacante también explotó el mecanismo de Envío Múltiple Seguro, ocultando la aprobación maliciosa dentro de una autorización rutinaria. "Esta autorización anormal fue difícil de detectar porque no era una aprobación estándar", escribió Xian en X.