Secuestro físico: ataque con llave inglesa después del nuevo máximo de Bitcoin

fondo

En el bosque oscuro de la blockchain, a menudo hablamos de ataques en la cadena, vulnerabilidades en contratos, intrusiones de hackers, pero cada vez más casos nos recuerdan que el riesgo se ha extendido fuera de la cadena.

Según Decrypt y Eesti Ekspress, durante una reciente audiencia judicial, el magnate de las criptomonedas y empresario Tim Heath recordó un intento de secuestro que sufrió el año pasado. Los atacantes rastrearon su ubicación a través de GPS, pasaportes falsificados y teléfonos desechables, y lo atacaron por detrás mientras subía las escaleras, intentando cubrir su cabeza con una bolsa y controlarlo por la fuerza. Heath logró escapar después de morderle un dedo a uno de los atacantes.

A medida que el valor de los activos criptográficos continúa aumentando, los ataques de tipo "wrench" contra los usuarios de criptomonedas se han vuelto más frecuentes. Este artículo analizará en profundidad este tipo de técnicas de ataque, revisará casos típicos, esclarecerá la cadena delictiva detrás de ellos y propondrá recomendaciones prácticas y viables para la prevención y respuesta.

()

¿Qué es un ataque de llave inglesa?

"Puedes tener la mejor protección técnica, pero un atacante solo necesita una llave inglesa para derribarte, y entonces dirás tu contraseña sin dudarlo." El término ataque con llave inglesa de 5 dólares ($5 Wrench Attack) apareció por primera vez en el cómic en línea XKCD, donde el atacante no utiliza medios técnicos, sino que emplea amenazas, extorsiones e incluso secuestros para obligar a la víctima a entregar su contraseña o activos.

()

Revisión de un caso típico de secuestro

Desde el inicio de este año, los casos de secuestro de usuarios de criptomonedas han ido en aumento, con víctimas que incluyen a miembros clave de proyectos, KOL e incluso usuarios comunes. A principios de mayo, la policía francesa logró rescatar al padre de un magnate de las criptomonedas que había sido secuestrado. Los secuestradores exigieron un rescate de varios millones de euros y cortaron cruelmente uno de sus dedos para presionar a la familia.

Casos similares ya habían surgido a principios de año: en enero, el cofundador de Ledger, David Balland, y su esposa fueron atacados en su hogar por hombres armados; los secuestradores también le cortaron los dedos y grabaron un video, exigiendo el pago de 100 bitcoins. A principios de junio, un hombre con doble nacionalidad francesa y marroquí, Badiss Mohamed Amide Bajjou, fue arrestado en Tánger; según Barrons, se sospecha que estaba detrás de varios planes de secuestro de empresarios de criptomonedas en Francia. La ministra de Justicia francesa confirmó que el sospechoso es buscado por Interpol por cargos de 'secuestro, detención ilegal de rehenes', entre otros. Además, se sospecha que Bajjou es uno de los principales perpetradores del secuestro del cofundador de Ledger.

Otro caso que ha conmocionado a la industria ocurrió en Nueva York. El inversor de criptomonedas italiano Michael Valentino Teofrasto Carturan fue engañado y llevado a una villa, donde fue mantenido en cautiverio y torturado durante tres semanas. La banda criminal utilizó una motosierra, dispositivos de electroshock y drogas para amenazarlo, e incluso lo colgaron en la azotea de un rascacielos, obligándolo a entregar la clave privada de su billetera. Los agresores eran "insiders" de la industria, que mediante el análisis en cadena y el seguimiento en redes sociales, identificaron con precisión su objetivo.

A mediados de mayo, la hija del cofundador de Paymium, Pierre Noizat, y su nieto pequeño estuvieron a punto de ser forzados a entrar en una furgoneta blanca en las calles de París. Según informó el periódico "Le Parisien", la hija de Noizat se resistió con fuerza, y un transeúnte golpeó la furgoneta con un extintor, lo que obligó a los secuestradores a huir.

Estos casos indican que, en comparación con los ataques en la cadena, las amenazas de violencia fuera de línea son más directas, eficientes y tienen un umbral más bajo. Los atacantes suelen ser jóvenes, con edades entre 16 y 23 años, que poseen un conocimiento básico de las criptomonedas. Según los datos publicados por la fiscalía francesa, varios menores de edad han sido formalmente acusados por su implicación en este tipo de casos.

Además de los casos reportados públicamente, el equipo de seguridad de Slow Fog también ha notado que algunos usuarios, al realizar transacciones fuera de línea, han sido controlados o amenazados por la otra parte, lo que ha llevado a la pérdida de activos.

Además, hay algunos incidentes de "coacción no violenta" que aún no han escalado a la violencia física. Por ejemplo, los atacantes amenazan a las víctimas utilizando su privacidad, paradero u otros puntos débiles para forzarlas a realizar transferencias. Aunque este tipo de situaciones no causa daño directo, ya tocan los límites de la amenaza personal, y si pertenecen a la categoría de "ataque de palanca" aún merece ser discutido.

Es importante destacar que los casos revelados pueden ser solo la punta del iceberg. Muchos víctimas eligen permanecer en silencio por miedo a represalias, porque las agencias de aplicación de la ley no aceptan sus denuncias o por temor a la exposición de su identidad, lo que también dificulta la evaluación precisa de la verdadera magnitud de los ataques fuera de la cadena.

Análisis de la cadena del crimen

El equipo de investigación de la Universidad de Cambridge publicó en 2024 el artículo "Investigating Wrench Attacks: Physical Attacks Targeting Cryptocurrency Users", que analiza sistemáticamente los casos de usuarios de criptomonedas que han sido objeto de coerción violenta (ataques de llave inglesa) en todo el mundo, revelando en profundidad los patrones de ataque y las dificultades de defensa. La imagen a continuación es una versión traducida de la imagen original del artículo, para referencia, la imagen original se puede ver

A partir de múltiples casos típicos, hemos resumido que la cadena delictiva del ataque con llave inglesa abarca aproximadamente los siguientes pasos clave:

1. Bloqueo de información

Los atacantes suelen comenzar con información en cadena, combinando el comportamiento de las transacciones, datos de etiquetas y la situación de tenencia de NFT, para evaluar preliminarmente la escala de los activos objetivo. Al mismo tiempo, los chats grupales de Telegram, las declaraciones en X (Twitter), las entrevistas con KOL e incluso algunos datos filtrados se convierten en fuentes importantes de información auxiliar.

2. Posicionamiento y contacto en la realidad

Una vez que el atacante ha determinado la identidad objetivo, intentará obtener información sobre su identidad real, incluyendo lugar de residencia, lugares frecuentados y estructura familiar. Los métodos comunes incluyen:

• Inducir a los objetivos a revelar información en plataformas sociales;
• Utilizar la información de registro público (como el correo electrónico vinculado a ENS, la información de registro de dominio) para realizar una búsqueda inversa;
• Utilizar datos filtrados para realizar búsquedas inversas;
• Introducir al objetivo en un entorno controlado a través de seguimiento o invitaciones falsas.

3. Amenazas y extorsión violenta

Una vez que controlan el objetivo, los atacantes a menudo utilizan métodos violentos para obligarlo a entregar la clave privada de la billetera, las frases de recuperación y los permisos de verificación en dos pasos. Los métodos comunes incluyen:

• Golpes, descargas eléctricas, amputaciones y otras lesiones corporales;
• Coaccionar a la víctima para realizar la transferencia;
• Intimidar a los familiares, pidiendo a la familia que realice la transferencia.

4. Lavado de dinero y transferencia de fondos

Una vez que obtienen la clave privada o la frase de recuperación, los atacantes suelen transferir rápidamente los activos, utilizando métodos como:

• Utilizar un mezclador de monedas para ocultar el origen de los fondos;
• Transferir a direcciones controladas o cuentas de exchanges centralizados no conformes;
• Monetizar activos a través de canales OTC o mercados negros.

Algunos atacantes tienen un trasfondo en tecnología blockchain, están familiarizados con los mecanismos de seguimiento en la cadena y deliberadamente crean rutas de múltiples saltos o confusión entre cadenas para evadir el seguimiento.

medidas de respuesta

El uso de billeteras multisig o frases mnemotécnicas descentralizadas no es práctico en escenarios extremos de amenazas personales, a menudo siendo considerado por los atacantes como una negativa a cooperar, lo que en cambio agrava la violencia. Ante un ataque de llave inglesa, la estrategia más segura debería ser "hay algo que dar y la pérdida es controlable":

• Configurar una billetera de inducción: prepara una cuenta que parezca una billetera principal, pero que solo contenga una pequeña cantidad de activos, para utilizarla en caso de peligro para "alimentación de stop-loss".
• Gestión de seguridad familiar: los miembros de la familia deben dominar los conocimientos básicos sobre la ubicación de los activos y cómo responder en caso de necesidad; establecer una palabra de seguridad para transmitir señales de peligro en situaciones anormales; reforzar la configuración de seguridad de los dispositivos domésticos y la seguridad física del hogar.
• Evitar la exposición de identidad: evita presumir de riqueza o mostrar registros de transacciones en plataformas sociales; evita revelar la posesión de activos criptográficos en la vida real; gestiona bien la información en tu círculo de amigos para prevenir filtraciones por parte de conocidos. La protección más efectiva siempre es hacer que la gente "no sepa que eres un objetivo digno de interés".

escrito al final

Con el rápido desarrollo de la industria criptográfica, entender a tu cliente ( KYC ) y el sistema de Antilavado de Dinero ( AML ) desempeñan un papel clave en la mejora de la transparencia financiera y en la prevención del flujo ilegal de fondos. Sin embargo, durante el proceso de ejecución, especialmente en lo que respecta a la seguridad de los datos y la privacidad del usuario, aún se enfrentan a numerosos desafíos. Por ejemplo, la gran cantidad de información sensible (como identidad, datos biométricos, etc.) que las plataformas recopilan para cumplir con los requisitos regulatorios, si no se protege adecuadamente, puede convertirse en un punto de ataque.

Por lo tanto, recomendamos la introducción de un sistema de identificación de riesgos dinámico sobre la base del proceso KYC tradicional, para reducir la recopilación innecesaria de información y disminuir el riesgo de filtración de datos. Al mismo tiempo, la plataforma puede integrarse con plataformas de prevención de lavado de dinero y seguimiento como MistTrack, para ayudar a identificar transacciones sospechosas potenciales y mejorar la capacidad de gestión de riesgos desde la fuente. Por otro lado, la construcción de capacidades de seguridad de datos también es indispensable; aprovechando el servicio de pruebas de equipo rojo de SlowMist (, la plataforma puede obtener apoyo para simulaciones de ataques en un entorno real, evaluando de manera integral las rutas de exposición de datos sensibles y los puntos de riesgo.