Desde junio del año pasado, DCG ha obtenido aproximadamente 430,000 dólares en fondos de Railgun, un mezclador de criptomonedas. Las investigaciones indican que Railgun podría estar involucrado en actividades de lavado de dinero de la agrupación de hackers de Corea del Norte, Lazarus Group.

Escrito por: Javier Paz, periodista de Forbes

Traducido por: Luffy, Foresight News

En el mundo de las criptomonedas, la privacidad es un gran problema. Para aquellos que desean ocultar ciertas cosas, existe una herramienta conocida como mezclador de criptomonedas que puede ayudar a los propietarios de activos a ocultar su identidad. En términos simples, un mezclador funciona al mezclar las criptomonedas depositadas en un fondo común, rompiendo el vínculo con la billetera criptográfica original, de modo que las personas no puedan rastrear la fuente original de los fondos. En 2022, el mezclador más "notorio", Tornado Cash, fue incluido en la lista de sanciones del Departamento del Tesoro de EE. UU. debido a que se sospechaba que este mezclador lavaba miles de millones de dólares para delincuentes, incluida una organización de hackers de Corea del Norte.

Las autoridades estadounidenses han afirmado que un grupo de hackers de Corea del Norte llamado Lazarus Group ha estado utilizando mezcladores como Blender.io, Tornado Cash, Railgun y Sinbad.io para lavar criptomonedas robadas. La siguiente imagen muestra que los mezcladores se han utilizado para blanquear 700 millones de dólares en fondos robados de aplicaciones de blockchain (como el juego en línea Axie Infinity, el software de billetera Atomic Wallet y el puente de cadena cruzada Harmony Bridge). Harmony Bridge es una herramienta que permite a los usuarios trasladar activos de tokens de una blockchain de Harmony a otras redes de blockchain como Ethereum. Según el (Wall Street Journal), Lazarus ha robado un total de más de 3 mil millones de dólares en criptomonedas.

El siguiente gráfico enumera cronológicamente algunos incidentes de lavado de dinero involucrando hackers (en rojo) y mezcladores (en verde). Los números verdes no siempre son iguales a los números rojos, ya que los fondos robados por los hackers no siempre son iguales a los fondos lavados, y algunos fondos pueden haberse utilizado más de una vez para el lavado.

Incidente de hackeo de criptomonedas de Lazarus Group, fuente: FBI de EE. UU., Departamento del Tesoro de EE. UU., compilado por Forbes

El ataque de hackeo a Harmony Bridge es notable porque, a diferencia de otros mezcladores mencionados anteriormente, las autoridades estadounidenses aún no han sancionado a Railgun. El Tesoro no respondió a las solicitudes de comentarios sobre el asunto de Railgun. Sin embargo, nueva información sugiere que la firma de gestión de fondos Digital Currency Group (DCG), que tiene 25,000 millones de dólares en criptomonedas, podría haber obtenido ganancias de lavado de dinero a través de Railgun. Forbes llevó a cabo una investigación de dos meses respaldada por datos proporcionados por la firma de inteligencia blockchain ChainArgos, que mostró que DCG ha recibido 436,906 dólares de Railgun desde junio de 2023. Esta cifra representa el 18% de los gastos de Railgun durante ese tiempo, que ascienden a 2.4 millones de dólares. Según la empresa de análisis forense de criptomonedas Elliptic, el mezclador Railgun podría haber participado en actividades de lavado de dinero de hasta 60 millones de dólares por parte de Lazarus Group en 2023. Un portavoz de DCG se negó a comentar sobre el asunto. Forbes ha solicitado comentarios a Railgun en múltiples ocasiones, pero no ha recibido respuesta.

Incidente de hackeo de Harmony

En junio de 2022, según el FBI, la agrupación de hackers de Corea del Norte, Lazarus Group, robó criptomonedas por valor de 100 millones de dólares a través del puente de cadena cruzada de Harmony, que incluía Ethereum, USDC, WBTC y otros 11 tokens. Los hackers llevaron a cabo el ataque utilizando la contraseña de un programa de almacenamiento en la nube filtrada por un administrador del puente de cadena cruzada, y luego robaron las claves privadas que protegen la transferencia de activos de los clientes. Elliptic indicó: "Los fondos robados estuvieron inactivos durante siete meses, y entre el 11 y el 14 de enero de 2023, se enviaron 41,647 ETH a través de 71 cuentas al contrato de intermediación de Railgun." La estrategia de salida de Lazarus Group a través de Railgun también se rastreó a "184 cuentas intermediarias, que luego utilizaron 19 direcciones de depósito para depositar en varios intercambios de criptomonedas centralizados, principalmente en Huobi, Binance y OKX."

El 16 de abril de 2024, Railgun, con sede en el Reino Unido, negó las supuestas actividades de mezcla mencionadas anteriormente, afirmando que "esto no es cierto, es un informe falso." Sin embargo, el uso y las tarifas de Railgun aumentaron drásticamente a principios de 2023. Históricamente, la cantidad de mezcla de Railgun procesada diariamente ha estado entre 1 y 5 ETH. El 13 de enero de 2023, el volumen de mezcla se disparó a 41,000 ETH, coincidiendo con las supuestas actividades de lavado, y después de eso, la cantidad de mezcla de Railgun nunca volvió a alcanzar ese nivel.

Inversión de DCG en Railgun

En enero de 2022, DCG invirtió 10 millones de dólares en Railgun y recibió 5 millones de tokens RAIL (el token nativo de la red Railgun). Según los precios recientes, la inversión de DCG en RAIL ahora vale 3.9 millones de dólares, una caída de más del 60%. DCG ha apostado estos tokens, lo que equivale a que DCG utiliza los tokens como colateral para el protocolo, obteniendo así derechos para votar sobre decisiones comerciales importantes futuras del protocolo y recibir una parte de las tarifas de red pagadas por los usuarios. Los tokens RAIL de DCG se almacenan en cinco billeteras de Ethereum independientes:

  • 0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA

  • 0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811

  • 0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E

  • 0x02698237DDC5Cf63660DA2cfD10934C911433724

  • 0xE82f012dd671f94094d0c33D9E8c99330D1D2B79

Además, DCG donó 7.1 millones de dólares en la stablecoin DAI a la tesorería del protocolo de Railgun, una stablecoin que está vinculada al valor del dólar para usos comerciales habituales. "Es raro que grandes inversores envíen fondos a un tesoro DAO completamente descentralizado para apoyar un proyecto, mientras que exigen que se gestione cualquier clave o que se forme parte de un equipo de firma múltiple", dijo Edward Fricker, abogado que asesoró a Railgun sobre la transacción, en un comunicado.

Según datos de ChainArgos y Elliptic, (Forbes) calculó que las transacciones de 60 millones de dólares sospechosas de lavado de dinero de la agrupación de hackers de Corea del Norte requieren al menos 260,000 dólares en tarifas, que se pueden extraer del fondo de tarifas de Railgun hasta el 21 de enero de 2023. Sin embargo, DCG no solicitó su parte de las tarifas de Railgun hasta junio de 2023. Durante este tiempo, otras 26 direcciones de billeteras también solicitaron tarifas de Railgun.

¿Esperó DCG deliberadamente cinco meses para solicitar tarifas, para distanciarse de las llamadas actividades ilegales? DCG no respondió a (Forbes). Jonathan Reiter, CEO de ChainArgos, dijo: "Si solo necesitas esperar unas pocas semanas para obtener legalmente las tarifas de las ganancias de lavado de un mezclador, las fuerzas del orden definitivamente no estarán satisfechas."

Pero eso no importa. El código de Railgun automáticamente vincula las tarifas acumuladas a la dirección de participación o a la dirección receptora. Matthew Sampson, cofundador de la empresa de análisis de blockchain Gray Wolf, dijo: "Hay evidencia sólida de que DCG se benefició de lo que se dice que es un evento de lavado de dinero en enero de 2023. "El contrato inteligente de Railgun establece quién debe recibir las recompensas, y los tokens de recompensa de ese período están reservados para DCG, que puede reclamarlos en cualquier momento."

La siguiente imagen muestra las tarifas de recompensa que Railgun pagó recientemente a la billetera de DCG. Los ingresos por tarifas del mezclador no provienen únicamente de las llamadas actividades de lavado de dinero.

Recompensas de Railgun para DCG, fuente: datos de Ethereum y Arkham compilados por Forbes

Las recompensas de RAIL acumuladas en las cinco billeteras mencionadas anteriormente fueron delegadas a la dirección 0xFED429FB7d243380B25bC11B10561D5A27f42D8E, desde donde se puede consultar información específica sobre las direcciones que DCG utiliza para recibir recompensas de Railgun. Cada dirección receptora recibió recompensas en tres tipos de tokens: stablecoin DAI (49%), token de gobernanza RAIL (30%) y un ETH envuelto (WETH, 21%). 1 stablecoin equivale a 1 unidad de una moneda fiduciaria específica, en este caso, el dólar. El token de gobernanza RAIL permite a los poseedores votar en las propuestas del protocolo, similar a las votaciones por poder en las empresas de acciones tradicionales. WETH es un ETH "envuelto", cuyo valor es igual al de ETH, lo que permite su transferencia a través de múltiples protocolos de blockchain, no limitado a su protocolo nativo de Ethereum.

Desafíos de cumplimiento de DeFi

La supuesta implicación de DCG en el incidente de lavado de dinero de Railgun es solo un ejemplo de cómo las aplicaciones de finanzas descentralizadas (DeFi) en criptomonedas (que imitan las funciones bancarias en la blockchain) luchan por equilibrar las herramientas de privacidad con la necesidad de bloquear a los actores maliciosos de sus sistemas. Los creadores de estas plataformas a menudo dicen que son descentralizadas, por lo que no están controladas por nadie y no limitan a nadie. Sin embargo, esta explicación rara vez es aceptada por los funcionarios de la ley, especialmente en EE. UU.

Según las pautas de responsabilidad del (Bank Secrecy Act) publicadas por las autoridades estadounidenses en octubre de 2021, "los miembros de la industria de las criptomonedas son responsables de asegurarse de que no participen directa o indirectamente en transacciones prohibidas por las sanciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU., como transacciones con personas o propiedades congeladas, o participar en transacciones comerciales o de inversión prohibidas." Un portavoz del Departamento de Investigación Criminal del IRS de EE. UU. mencionó específicamente los proyectos DeFi al decir a (Forbes), "Estas plataformas requieren mantenimiento y desarrollo continuo para mantenerse al día con el ritmo de la tecnología y prevenir a los delincuentes, lo que exige que las empresas detrás de las plataformas DeFi supervisen lo que sucede en la plataforma y aseguren el cumplimiento de las leyes y regulaciones."

Las violaciones del (Bank Secrecy Act) suelen ser difíciles de detectar, en parte debido a la falta de personal del gobierno de EE. UU. "La Red de Control de Delitos Financieros ha estado subfinanciada durante años, con un máximo de 10 personas responsables de supervisar miles de empresas de servicios monetarios, incluidas las casas de cambio de criptomonedas, algunas de las cuales mueven billones de dólares al año", dijo Amanda Wick, exreguladora del Departamento de Justicia de EE. UU. y directora de Incite Consulting.

"El gobierno tiene escasez de personal y los índices de criminalidad están en aumento", agregó Victor Fang, CEO y cofundador de la empresa de análisis de blockchain Anchain, quien trabaja en estrecha colaboración con el equipo de investigación criminal del IRS de EE. UU., "Solo en EE. UU., hay 50,000 casos esperando ser procesados, así que, ¿cómo se supone que usarán Chainalysis u otros proveedores de datos para ayudarles con estos casos? Es imposible."

Railgun parece estar desarrollando una solución técnica para mejorar su cumplimiento. En mayo de 2023, Railgun colaboró con los creadores de 'Proof of Innocence', Chainway Labs, para lanzar una nueva funcionalidad que lo haga más conforme a los requisitos regulatorios. La solución de prueba de inocencia, también conocida como 'piscina de privacidad', permite a los usuarios optar por proporcionar pruebas criptográficas para demostrar que los tokens del usuario no provienen de una billetera sancionada. La idea es que los buenos proporcionen evidencia, y los malos se mantengan alejados de la evidencia. El problema es que los malos pueden crear fácilmente una gran cantidad de nuevas billeteras no sancionadas, separándolas de sus actividades ilícitas en capas para eludir soluciones como estas.

Patrick Tan, asesor legal general de ChainArgos, dijo: "No puede existir un sistema de cumplimiento sin licencia; de lo contrario, siempre estarás un paso atrás al intentar sancionar o atrapar a los malos."