El exchange de criptomonedas taiwanés 'BitoPro' admite una vulnerabilidad de $11.5 millones tras el informe de ZachXBT

El investigador de criptomonedas ZachXBT afirmó el 2 de junio que la plataforma de intercambio taiwanesa BitoPro probablemente fue hackeada, lo que resultó en una pérdida de casi 11,5 millones de dólares. Las billeteras calientes de Tron, Ethereum, Solanay Polygon registraron salidas sospechosas el 8 de mayo, y los activos robados se vendieron a través de DEX.

El detective especializado en seguridad informática denunció el domingo que BitoPro posiblemente fue hackeado y que los fondos fueron a parar a un mezclador de criptomonedas. Según ZachXBT, el botín fue sustraído de monederos digitales en varias cadenas de bloques y blanqueado mediante Tornado Cash y Thorchain.

Posteriormente, los fondos se depositaron en Tornado Cash o se convirtieron en Bitcoin mediante THORChain antes de ser depositados en Wasabi. Hasta el momento, la plataforma de intercambio no ha reconocido oficialmente el incidentedentlimitándose a suspender sus servicios por motivos de "mantenimiento del sistema".

BitoPro reconoce una brecha de seguridad semanas después deldent 

【Comunicado oficial de BitoPro: 2 de junio de 2025】
Durante una actualización del sistema de monederos, BitoPro sufrió recientemente un ciberataque en un monedero antiguo. Tras detectarlo, implementamos rápidamente una respuesta de emergencia, protegiendo los activos mediante su traslado a nuevos monederos y bloqueando al atacante.

– BitoGroup 幣託集團 (@BitoEx_Official) 2 de junio de 2025

BitoPro finalmente confirmó tres semanas después deldent que había sufrido una vulnerabilidad de seguridad en su billetera. El 2 de junio, la plataforma de intercambio informó que la brecha se produjo durante una actualización del sistema de billetera, cuando un atacante explotó una antigua billetera activa durante la reasignación interna de fondos.

El 9 de mayo, BitoPro anunció un período de mantenimiento para el exchange, que se resolvió ese mismo día. Los depósitos, retiros y todas las funciones de trading permanecieron operativas mientras una empresa externa de seguridad blockchain se encargaba de traclos fondos robados.

Sin embargo, desde entonces muchos usuarios han informado que no pueden retirar USDt (USDT).

Declaramos que la plataforma cuenta con suficientes reservas de activos virtuales y que los derechos de los usuarios no se han visto afectados. Desde eldent, las funciones de recarga, retiro y transacción de los usuarios se han mantenido normales

–BitoPro

BitoPro prometió publicar pronto la dirección de su nueva billetera caliente para inspección externa, demostrando así su compromiso con la seguridad y la transparencia de los activos. El equipo del exchange añadió que muchos de los activos de la plataforma estuvieron almacenados en billeteras frías sin conexión externa durante mucho tiempo y nunca se habían visto afectados, por lo que los activos en general estaban seguros.

El equipo también dijo que continuará mejorando los mecanismos de protección de la seguridad de la información, afinando los procesos de gestión de billeteras y las capacidades de monitoreo, y protegiendo la seguridad de los activos de cada usuario.

ZachXBT cree que la demora de BitoPro en publicar la violación fue innecesaria

¿Quieres explicarle a la comunidad por qué varias de tus billeteras activas sufrieron salidas sospechosas de aproximadamente $11.5 millones el 8 de mayo de 2025, cuando aún no has revelado el incidente de seguridaddent X ni en Telegram varias semanas después? pic.twitter.com/HlD0c93Or4

— ZachXBT (@zachxbt) 2 de junio de 2025

El Sherlock Holmes de las criptomonedas también cuestionó la renuencia de BitoPro a publicitar el hackeo y la pérdida de fondos en X o Telegram semanas (~25 días) después del presuntodentde seguridad.

Recientemente exigió consecuencias reales, especialmente para los menores de edad que intercambian tarjetas SIM y realizan suplantación de identidad (phishing), señalando que las leyes canadienses y de la UE eran algo indulgentes con estos jóvenes delincuentes.

Sin embargo, SomaXBT, otro sobreviviente de estafa convertido en investigador de amenazas criptográficas, afirmó que el equipo de BitoPro probablemente estaba trabajando en segundo plano para recuperar los fondos robados y sorprender a sus usuarios con una gran historia de robo y recuperación.

Los usuarios del exchange compartieron la afirmación de ZachXBT en el canal oficial de Telegram de BitoPro, donde un administrador del canal respondió diciendo que acababan de recibir numerosas consultas y que responderían en consecuencia después de que concluyeran las investigaciones.

Al momento de esta publicación, aún no estaba claro en qué medida se vieron afectados los activos de los usuarios en el exchange y los atacantes aún no habían sidodent.