Dentro de la herramienta favorita de Corea del Norte para el lavado de Cripto : THORChain

John-Paul Thorbjornsen, expiloto de la Fuerza Aérea Australiana convertido en emprendedor de Cripto , ha dedicado las últimas semanas a promocionar su nueva billetera de Cripto , "Vultisig". Desarrollada sobre THORChain , una blockchain que fundó para permitir intercambios de Cripto sin intermediarios, su principal atractivo reside en su mayor dificultad para hackearla que aplicaciones similares.

Recientemente, Vultisig, junto con la propia red THORChain , ha experimentado un aumento de actividad, pero los expertos en seguridad han rastreado el crecimiento hasta una fuente preocupante: el grupo de hackers Lazarus de Corea del Norte.

Tras el mes de febreroHackeo de 1.400 millones de dólares del exchange de Cripto Bybit —el mayor robo cibernético de la historia—, THORChain se convirtió en un elemento central de las operaciones de lavado de activos de Corea del Norte. Los investigadores han... rastreó casi $1.2 mil millones —o el 85%— de los fondos robados a través de la red, que se ha convertido en la principal herramienta del régimen de Kim para mover Cripto entre cadenas de bloques.

A diferencia de otros servicios de blockchain, los operadores de THORChain se han negado a bloquear las transacciones relacionadas con el robo de Bybit, a pesar de las solicitudes del FBI y otras agencias gubernamentales. Las billeteras de THORChain como Asgardex y Vultisig —herramientas que la mayoría de la gente usa para realizar transacciones en la red— tampoco T movido.

Según estimaciones de investigadores de seguridad de blockchain que hablaron con CoinDesk, los principales desarrolladores y validadores de billeteras de THORChain (muchos identificados públicamente y con sede en jurisdicciones con estrictas regulaciones contra el lavado de dinero, incluido EE. UU.) han ganado más de $ 12 millones en tarifas relacionadas con el robo.

Thorbjornsen, conocido públicamente como JP Thor, insiste en que ya no participa en las operaciones diarias de THORChain, pero sigue siendo su principal defensor. "El protocolo sigue funcionando e intercambiando a pesar del caos", declaró a CoinDesk. "De hecho, va de maravilla".

La Oficina de Control de Activos Extranjeros de los Estados Unidos (OFAC) ha sancionado anteriormente los servicios de blockchain utilizados en relación con el lavado de dinero, como la aplicación mezcladora Tornado Cash (que desde entonces ha sidoexcluido de la listadespués de unasentencia judicial) y Bitzlato, un intercambio. La fiscalía también ha acusado a los operadores detrás de plataformas similares.

Para los expertos legales y la comunidad Cripto , la cuestión de si THORChain (una cadena de bloques de capa 1) debería recibir un trato diferente al de estos otros servicios reaviva un debate fundamental al que se enfrentan prácticamente todas las plataformas Cripto : ¿la red está verdaderamente descentralizada?

Los críticos argumentan que no lo es, al menos en comparación con cadenas de bloques populares como Bitcoin y Ethereum, que han recibido menos escrutinio por facilitar transacciones ilícitas. Los defensores de THORChain «afirman que está descentralizada cuando conviene, pero se están beneficiando de este [hackeo a Bybit]», declaró el investigador de seguridad de cadenas de bloques Taylor Monahan. «Es una imagen muy negativa».

Las comisiones por transacción de THORChain, en particular las generadas por sus aplicaciones de billetera, mantenidas por pequeños equipos de desarrolladores, complican aún más su defensa. Según un exfuncionario del Departamento del Tesoro de EE. UU., «Cualquiera que se lucre con las comisiones relacionadas con el movimiento de fondos pirateados que ya se han atribuido públicamente a Lazarus y Corea del Norte podría tener un problema con la OFAC».

Incluso algunos de los defensores más acérrimos de THORChain se han mostrado preocupados. «Cuando la gran mayoría de sus flujos sean fondos robados de Corea del Norte para el mayor atraco de dinero de la historia de la Human , se convertirá en un problema de seguridad nacional», advirtió un desarrollador de THORChain conocido como «TCB» en incógnita"T ya no es un juego."

El mayor hackeo de la historia

El hackeo de febrero a Bybit, una importante plataforma de intercambio de Cripto con sede en Dubai, fue de gran magnitud incluso para los estándares del grupo Lazarus, la unidad cibernética de élite de Corea del Norte detrás de la mayor parte de Los mayores robos de Criptode la última década.

El hackeo se produjo después de que el fundador de Bybit fuera engañado para interactuar con un sitio web comprometido por Lazarus. El error permitió a los hackers acceder a algunas de las principales billeteras Ethereum de Bybit. Robaron tokens de ether (ETH) por valor de 1.400 millones de dólares de la plataforma.

Los lavadores de dinero de Corea del Norte, muy experimentados tras años de robos de grandes sumas de dinero en Cripto , inmediatamente comenzaron a dividir su botín récord en una serie de nuevas billeteras de Cripto : el primer paso en un viaje complejo diseñado para convertir Cripto sucias en efectivo limpio.

"La RPDC utiliza capacidades técnicas avanzadas para blanquear Criptomonedas", explicó Andrew Fierman, jefe de inteligencia de seguridad nacional de Chainalysis. Tras transferir los fondos a través de una gran cantidad de billeteras intermediarias, los blanqueadores utilizan puentes entre cadenas para transferir los fondos robados a diversos activos, como Bitcoin, Ethereum, TRON, Solana y otros.

THORChain resultó esencial en la etapa de enlace, sirviendo como intermediario para intercambiar tokens entre cadenas de bloques (a menudo de manera repetida) para desviar a los investigadores de su camino.

"Antes de que existiera THORChain , no había forma de cambiar de Ethereum a Bitcoin sin congelarse", explicó Monahan, investigador de seguridad de MetaMask.

Los servicios de intercambio centralizados, incluyendo plataformas de intercambio de Cripto como Coinbase y Binance, exigen que los usuarios registren sus cuentas y corren el riesgo de que se les incauten fondos ilícitos. La mayoría de los servicios descentralizados, por otro lado, carecen de la liquidez necesaria para respaldar transacciones de la magnitud del grupo Lazarus.

Poner en aviso

Al día siguiente del hackeo de Bybit, el volumen diario de intercambio de THORChain superó los 529 millones de dólares, su mayor día de operaciones hasta la fecha, según datos de DeFiLlama. El volumen continuó aumentando durante los días siguientes, generando millones de dólares en comisiones para los validadores, proveedores de liquidez y servicios de monedero de THORChain.

El 27 de febrero, el FBI hizo circular una lista de direcciones blockchain vinculadas a la RPDC e instó a "las entidades del sector privado, incluidos los operadores de nodos RPC, bolsas, puentes, empresas de análisis de blockchain, servicios DeFi y otros proveedores de servicios de activos virtuales a bloquear las transacciones con o derivadas de [ellos]".

A esta altura, muchas de las otras herramientas Cripto utilizadas por los lavadores de dinero de Corea del Norte ya habían comenzado a bloquear actividades vinculadas a robos.

Tether, el mayor operador de monedas estables, eventualmente congelaron 9 millones de dólaresvinculado al atraco, y Mantle, uncadena de bloques de capa 2 conectado a Ethereum, se congeló 41 millones de dólares másUna plataforma —un exchange descentralizado operado por la empresa OKX— suspendió sus servicios por completo.

Por un momento, THORChain pareció Síguenos el ejemplo. En respuesta al aviso del FBI, un grupo de validadores de THORChain se coordinó para detener los intercambios de Ethereum en el protocolo, una medida destinada a frenar la salida de fondos ilícitos. Sin embargo, la pausa duró solo 30 minutos antes de ser revertida tras la oposición de la comunidad.

"No hay prueba, ni puede haberla, de que alguna transacción firmada y propagada provenga de una ubicación geográfica específica", dijo Thorbjornsen a CoinDesk, argumentando que cualquier vínculo entre THORChain y Corea del Norte es "presunto" ya que los usuarios de la red no están obligados a registrarse.

La reversión de la pausa resultó ser un punto de inflexión para algunos miembros de la comunidad de THORChain . "Con efecto inmediato, ya no contribuiré a THORChain", escribió el desarrollador principal del protocolo, conocido como "Pluto", en un... Publicación X.

¿Teatro de la descentralización?

Thorbjornsen y otros sostienen que THORChain debería ser tratado como un protocolo descentralizado como Bitcoin o Ethereum, ninguno de los cuales bloqueó las transacciones luego del robo de Bybit.

Señalan su comunidad de más de 100 validadores (computadoras que verifican transacciones) como evidencia de que ninguna entidad única controla el sistema.

El modelo de gobernanza de THORChain se basa en estos validadores, quienes depositan el token nativo RUNE de la red para participar en el consenso y obtener recompensas. En teoría, las decisiones importantes del protocolo requieren la aprobación de una supermayoría de estos validadores, lo que crea una estructura de poder distribuida resistente al control centralizado.

Sin embargo, los críticos argumentan que la red no está tan descentralizada como se afirma. En enero, un solo desarrollador...pausó la reddurante una crisis de liquidez, una acción que debería haber requerido el consenso del validador si el sistema estuviera más descentralizado.

Cuando THORChain estuvo involucrado en operaciones previas de lavado de dinero en Corea del Norte, «nos dijeron que no podían hacer nada con los fondos ilícitos», declaró Monahan. «Durante todo este tiempo, JP tuvo una única clave privada que controlaba todo el sistema».

Thorbjornsen admite que la cadena fue pausada por un administrador titular de una clave en un momento en el que THORChain enfrentaba una amenaza "existencial".

La pausa fue anunciada por un desarrollador con el seudónimo "Leena". Thorbjornsen creó la cuenta de Leena al principio del desarrollo de THORChain y la usó inicialmente para ocultar su verdadera identidad.

Ahora afirma que la cuenta de Leena ya no está bajo su control exclusivo, y que alguien más detuvo la cadena de acuerdo con los procedimientos de seguridad aceptables. "La clave fue utilizada por un titular de claves, y no existe un registro de titulares de claves", afirmó.

Para Thorbjornsen, el debate sobre quién controlaba la clave de administración pasa por alto el aspecto más importante.

"En los primeros años de existencia de Bitcoin , fácilmente se podría haber dicho que Bitcoin estaba completamente centralizado", le dijo a CoinDesk, señalando Un caso en 2010 dondeSatoshi actualizó la cadena de bloques original para corregir un error importante.

"La descentralización se gana, y se gana con años de experiencia y dedicación", dijo Thorbjornsen. "Todo esto, como la pausa y la reanudación de la actividad, forma parte del camino hacia la descentralización".

Negocios como siempre

El 1 de marzo, el mayor día de operaciones de THORChain luego del robo de Bybit, la red registró más de mil millones de dólares en intercambios, más de lo que normalmente procesa en un mes entero.

La actividad fue una bendición para los proveedores de infraestructura de THORChain: servicios de billetera y validadores que toman una parte de cada transacción en la red.

Según Chainalysis, la firma de análisis forense de blockchain, los operadores de nodos de THORChain obtuvieron al menos 12 millones de dólares en comisiones relacionadas con el robo de Bybit. Chainalysis calificó su estimación como "conservadora".

Según expertos legales, estas comisiones son las que podrían causar problemas a los operadores de THORChain. Un exfuncionario del Departamento del Tesoro de EE. UU. advirtió en una entrevista con CoinDesk que «gran parte de esto se reduce a la pregunta de quién genera ingresos: ¿Es un grupo concentrado de personas y es relativamente seguro que [los fondos] provienen de actores maliciosos?».

Las aplicaciones de billetera como Vultisig y Asgardex han recibido un escrutinio especial por parte de expertos legales y de seguridad, ya que las aplicaciones "frontend" utilizadas para interactuar con cadenas de bloques generalmente se consideran más centralizadas que las cadenas de bloques mismas.

Asgardex, una de las billeteras THORChain más populares, obtuvo un millón de dólares con transacciones vinculadas a Bybit, según Monahan. «La razón por la que se usa Asgardex en lugar de otras billeteras THORChain es porque no se desea rastreo, T filtrado ni nada parecido», explicó Thorbjornsen, quien ayudó a desarrollar el programa.

Thorbjornsen afirma que ya no tiene participación operativa ni financiera en Asgardex, que es de código abierto y técnicamente puede ser reprogramada por sus usuarios para operar sin comisiones. Sin embargo, recientemente ha promocionado activamente VultiSig, su nueva billetera THORChain resistente a hackeos.

El 20 de marzo, Thorbjornsen se jactó en unPublicación X Que más gente que nunca usaba la aplicación: "¡Los swaps de Vultisig han generado 200.000 dólares en ingresos hasta ahora!" ZachXBT, un experto en Cripto conocido por investigar las operaciones cibernéticas de Corea del Norte, respondió señalando que "una buena parte de esos ingresos proviene del hackeo de Bybit".

"Vultisig no es una cadena ", dijo ZachXBT. "Operan una interfaz centralizada para que los usuarios interactúen con los protocolos a cambio de una tarifa".

El 16 de abril, Vultisig lanza su Cripto oficial: VULT. El token se distribuirá gratuitamente entre algunos de los usuarios más fieles de la billetera.