Autor: Javier Paz, periodista de Forbes
Compilación: Luffy, Foresight News
En el mundo de las criptomonedas, la privacidad es un problema importante. Para aquellos que desean ocultar algo, existe una herramienta llamada mezclador de criptomonedas que puede ayudar a los propietarios de activos a ocultar su identidad. El funcionamiento de un mezclador es simple: mezcla las criptomonedas depositadas en un fondo común, corta el vínculo con la billetera original y, por lo tanto, las personas no pueden saber el origen de los fondos. En 2022, el mezclador más "notorio", Tornado Cash, fue incluido en la lista de sanciones del Departamento del Tesoro de EE. UU. debido a su implicación en el lavado de miles de millones de dólares para criminales, incluidos un grupo de hackers de Corea del Norte.
Las autoridades estadounidenses informaron que un grupo de hackers de Corea del Norte llamado Lazarus Group ha estado utilizando mezcladores como Blender.io, Tornado Cash, Railgun y Sinbad.io para limpiar criptomonedas robadas. La siguiente imagen muestra que los mezcladores se han utilizado para lavar 700 millones de dólares en fondos robados de aplicaciones blockchain (como el juego en línea Axie Infinity, el software de billetera Atomic Wallet y el puente cross-chain Harmony Bridge). Harmony Bridge es una herramienta que permite a los usuarios transferir activos de tokens de una blockchain Harmony a otras redes de blockchain como Ethereum. Según el Wall Street Journal, Lazarus ha robado un total de más de 3 mil millones de dólares en criptomonedas.
La siguiente tabla enumera cronológicamente algunos eventos sospechosos de lavado de dinero por parte de hackers (en rojo) y mezcladores (en verde). Los números en verde no siempre son iguales a los números en rojo, ya que los fondos robados por los hackers no siempre equivalen a los fondos lavados, y algunos fondos pueden haberse utilizado más de una vez para el lavado de dinero.
Evento de hackers de criptomonedas del Lazarus Group, datos de: FBI, Departamento del Tesoro de EE. UU., recopilados por la revista Forbes
El ataque de hackers a Harmony Bridge es notable porque, a diferencia de otros mezcladores mencionados anteriormente, las autoridades estadounidenses aún no han sancionado a Railgun. El Departamento del Tesoro no respondió a las solicitudes de comentarios sobre el tema Railgun. Sin embargo, hay nueva información que indica que el grupo de criptomonedas detrás de la empresa de gestión de fondos Grayscale, con 25 mil millones de dólares en criptomonedas, podría beneficiarse del lavado de dinero a través de Railgun. Forbes realizó una investigación de dos meses respaldada por datos proporcionados por la empresa de inteligencia blockchain ChainArgos, que mostró que DCG ha obtenido 436,906 dólares de Railgun desde junio de 2023. Esta cifra representa el 18% de los 2.4 millones de dólares que Railgun gastó durante este tiempo. Según la empresa de análisis forense de criptomonedas Elliptic, el mezclador Railgun podría haber participado en actividades de lavado de dinero del Lazarus Group por un total de 60 millones de dólares en 2023. Un portavoz de DCG se negó a comentar sobre el asunto. La revista Forbes ha solicitado comentarios a Railgun en varias ocasiones, pero no ha recibido respuesta.
Incidente de hackers de Harmony
En junio de 2022, el FBI informó que el grupo de hackers de Corea del Norte, Lazarus Group, robó criptomonedas por valor de 100 millones de dólares del puente cross-chain de Harmony, incluida Ethereum, USDC, WBTC y otros 11 tokens. Los hackers implementaron el ataque a través de una contraseña de un programa de almacenamiento en la nube filtrada por un administrador del puente cross-chain y luego utilizaron ese programa para robar las claves privadas que protegían la transferencia de activos de los clientes, robando así grandes sumas. Elliptic afirmó: "Los fondos robados permanecieron inactivos durante siete meses y luego, entre el 11 y el 14 de enero de 2023, se enviaron a un contrato intermediario de Railgun a través de 71 cuentas un total de 41,647 ETH." La estrategia de Lazarus Group para salir a través de Railgun también se rastreó a "184 cuentas intermediarias, que luego utilizaron 19 direcciones de depósito para ingresar a múltiples intercambios de criptomonedas centralizados, principalmente a Huobi, Binance y OKX."
El 16 de abril de 2024, Railgun, con sede en el Reino Unido, negó las afirmaciones sobre actividades de mezclado supuestas, afirmando: "Esto no es cierto, es una noticia falsa." Sin embargo, el uso y las tarifas de Railgun aumentaron significativamente a principios de 2023. Históricamente, la cantidad de mezclas que Railgun maneja diariamente ha oscilado entre 1 y 5 ETH. El 13 de enero de 2023, la cantidad de mezclas se disparó a 41,000 ETH, coincidiendo con las supuestas actividades de lavado de dinero, y desde entonces, la cantidad de mezclas de Railgun no ha alcanzado ese nivel nuevamente.
Inversión de DCG en Railgun
En enero de 2022, DCG invirtió 10 millones de dólares en Railgun y recibió 5 millones de RAIL (el token nativo de la red Railgun). Según los precios recientes, la inversión de DCG en RAIL ahora vale 3.9 millones de dólares, una caída de más del 60%. DCG apostó estos tokens, lo que significa que DCG los utilizó como colateral del protocolo, obteniendo así derechos de voto sobre decisiones comerciales importantes futuras del protocolo y una parte de las tarifas de red pagadas por los usuarios. Los tokens RAIL de DCG se almacenan en cinco billeteras de Ethereum separadas:
0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA
0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811
0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E
0x02698237DDC5Cf63660DA2cfD10934C911433724
0xE82f012dd671f94094d0c33D9E8c99330D1D2B79
Además, DCG también donó a la tesorería del protocolo Railgun stablecoins DAI por un valor de 7.1 millones de dólares, que están vinculadas al precio del dólar, para usos comerciales habituales. "Los grandes inversores envían fondos a un tesoro DAO completamente descentralizado para apoyar proyectos, lo que es poco común, y exigen no tener claves de gestión ni ser parte de un equipo de firmas múltiples", afirmó Edward Fricker, abogado que asesoró a Railgun sobre la transacción, en una declaración.
Según los datos de ChainArgos y Elliptic, (Forbes) calcula que las transacciones de 60 millones de dólares sospechosas de lavado de dinero por parte del grupo de hackers de Corea del Norte requieren al menos 260,000 dólares en tarifas; hasta el 21 de enero de 2023, estas tarifas podían ser retiradas del fondo de tarifas de Railgun. Sin embargo, DCG no solicitó su parte de las tarifas de Railgun hasta junio de 2023. Durante este tiempo, otras 26 direcciones de billeteras también reclamaron tarifas de Railgun.
¿DCG esperó deliberadamente cinco meses para reclamar tarifas con el fin de distanciarse de las supuestas actividades ilícitas? DCG no respondió a Forbes. Jonathan Reiter, CEO de ChainArgos, dijo: "Si solo se necesita esperar unas semanas para obtener legalmente las tarifas de los fondos lavados del mezclador, las autoridades de aplicación de la ley seguramente no estarán satisfechas".
Pero eso no importa. El código de Railgun vincula automáticamente los costos acumulados con la dirección de staking o la dirección del receptor. Matthew Sampson, cofundador de la empresa de análisis de blockchain Gray Wolf, dijo: "Hay pruebas concluyentes de que DCG se benefició del supuesto lavado de dinero de enero de 2023. "El contrato inteligente de Railgun establece quién debe recibir las recompensas, y los tokens de recompensa de ese período están reservados para DCG, que se pueden reclamar en cualquier momento."
La siguiente imagen muestra las recompensas de tarifas que Railgun pagó recientemente a la billetera de DCG. Los ingresos por tarifas del mezclador no provienen exclusivamente de las llamadas actividades de lavado de dinero.
Recompensas de Railgun a DCG, fuente: datos de Ethereum y Arkham recopilados por Forbes
Las recompensas obtenidas por el RAIL apostado en las cinco billeteras mencionadas se delegaron a la dirección 0xFED429FB7d243380B25bC11B10561D5A27f42D8E, donde se puede consultar la información específica de la dirección que DCG recibió como recompensa de Railgun. Cada dirección receptora recibió tokens de recompensa en tres formas de tokens: stablecoin DAI (49%), token de gobernanza RAIL (30%) y un ETH envuelto (WETH, 21%). 1 stablecoin equivale a 1 unidad de una moneda fiduciaria específica, en este caso, el dólar. El token de gobernanza RAIL otorga a sus poseedores el derecho a votar en propuestas de protocolos, similar a la votación por poder en las empresas de acciones tradicionales. WETH es un ETH "envuelto" cuyo valor es equivalente a ETH, lo que permite que se transfiera a través de múltiples protocolos de blockchain, sin estar limitado a su protocolo nativo de Ethereum.
Desafíos de cumplimiento de DeFi
La implicación de DCG en el incidente de lavado de dinero de Railgun es solo un ejemplo de cómo las aplicaciones de finanzas descentralizadas (DeFi) en criptomonedas están luchando por equilibrar la necesidad de herramientas de privacidad y la necesidad de impedir que los malos actores ingresen a sus sistemas. Los creadores de estas plataformas a menudo dicen que son descentralizadas y, por lo tanto, no están controladas por nadie y no limitan a nadie. Sin embargo, esta explicación rara vez es aceptada por los funcionarios de aplicación de la ley, especialmente en EE. UU.
Según las pautas de responsabilidad emitidas por las autoridades estadounidenses en octubre de 2021 (Ley de Secreto Bancario), "los miembros de la industria de criptomonedas son responsables de asegurarse de que no participen directa o indirectamente en transacciones prohibidas por las sanciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro, como transacciones con personas o propiedades congeladas o involucrarse en transacciones comerciales o de inversión prohibidas." Un portavoz de la División de Investigación Criminal del IRS mencionó específicamente los proyectos DeFi a Forbes, diciendo que "estas plataformas necesitan mantenimiento y desarrollo continuos para mantenerse al día con los avances tecnológicos y detener a los criminales, lo que requiere que las empresas detrás de las plataformas DeFi supervisen lo que sucede en ellas y se aseguren de cumplir con las leyes y regulaciones."
Las violaciones de la (Ley de Secreto Bancario) suelen ser difíciles de detectar, en parte debido a la escasez de personal del gobierno de EE. UU. "La Oficina de Aplicación de la Ley de Delitos Financieros ha estado subfinanciada durante años, con un máximo de 10 personas supervisando miles de empresas de servicios monetarios, incluidas las bolsas de criptomonedas, algunas de las cuales manejan transferencias de miles de millones de dólares anualmente", dijo Amanda Wick, exreguladora del Departamento de Justicia de EE. UU. y directora de Incite Consulting.
"La escasez de personal gubernamental y el aumento de la tasa de criminalidad", agregó Victor Fang, CEO y cofundador de la empresa de análisis blockchain Anchain, quien trabaja en estrecha colaboración con el equipo de investigación de delitos financieros del IRS de EE. UU., "solo en EE. UU., hay 50,000 casos en espera de ser procesados, ¿cómo se espera que utilicen Chainalysis u otros proveedores de datos para ayudar a resolver estos casos? Es una tarea imposible."
Railgun parece estar desarrollando una solución técnica para mejorar su cumplimiento. En mayo de 2023, Railgun se asoció con Chainway Labs, creadores de la "prueba de no culpabilidad", para lanzar una nueva función que lo haga más conforme a las regulaciones. La solución de prueba de no culpabilidad, también conocida como "pool de privacidad", permite a los usuarios elegir si proporcionan pruebas criptográficas para demostrar que sus tokens no provienen de billeteras sancionadas. La idea es que los buenos proporcionen evidencia y los malos se mantengan alejados de la evidencia. El problema es que los malos pueden crear fácilmente una gran cantidad de nuevas billeteras no sancionadas, separadas de sus actividades ilegales, para eludir soluciones como esta.
Patrick Tan, asesor legal principal de ChainArgos, afirmó: "No puede existir un sistema de cumplimiento sin licencia; de lo contrario, siempre estarás un paso atrás al intentar incluir en la lista negra o atrapar a los malos".
