$27M El robo de carteras de criptomonedas expone fallos críticos en la seguridad multisig

Una brecha de seguridad reciente ha devastado la cartera de criptomonedas de una ballena de Ethereum, resultando en la pérdida de más de $27 millones en activos digitales. El incidente, detectado por primera vez en noviembre de 2025, sirve como una advertencia clara sobre los peligros de las carteras multisig mal configuradas y la gestión inadecuada de las claves privadas en el ecosistema de criptomonedas. La firma de seguridad blockchain PeckShield descubrió que el atacante tomó control de la cartera de la víctima apenas seis minutos después de su creación, exponiendo brechas fundamentales en la forma en que incluso usuarios sofisticados manejan sus holdings de criptomonedas.

Cómo una configuración de firma única derrotó la protección multisig

El núcleo de este desastre radica en un error de configuración crítico: la cartera fue configurada como una cartera de firma “1-de-1” en lugar de un arreglo multisig verdadero. Mientras que las carteras multisig están diseñadas con la premisa de que se necesitan múltiples aprobaciones para ejecutar transacciones, esta configuración en particular requería solo una firma—lo que esencialmente anula todo el beneficio de seguridad. Cuando la clave privada fue comprometida, ya sea mediante phishing, malware u otros vectores, el atacante no enfrentó obstáculos para mover los fondos.

Lo que hace que esta vulnerabilidad sea aún más alarmante es que no fue un fallo en la tecnología de la cartera en sí, sino un error operativo fundamental en su despliegue. La mala comprensión de la víctima sobre los requisitos multisig transformó lo que debería haber sido una arquitectura segura en un único punto de fallo. Los expertos en seguridad enfatizan que la protección multisig verdadera requiere al menos configuraciones 2-de-3 o 3-de-5, con claves privadas distribuidas en múltiples dispositivos aislados controlados por diferentes partes.

Rastreo de $12.6 millones en ETH a través de servicios de mixing

Una vez que el atacante obtuvo acceso, comenzó inmediatamente a mover los activos robados a través de Tornado Cash, un servicio de mezclado de criptomonedas diseñado para ocultar las trazas de las transacciones. El análisis forense de PeckShield reveló que aproximadamente 4,100 ETH (valorados en unos $12.6 millones según las tasas de cambio de noviembre) fueron pasados por el servicio de mixing en transacciones escalonadas.

Más allá de Ethereum, el hacker se llevó múltiples tokens almacenados en la cartera: WETH (Wrapped Ethereum), OKB (que actualmente cotiza a $86.12), LEO (cerca de $8.69), y FET (Artificial Superintelligence Alliance, alrededor de $0.18). El atacante también retuvo aproximadamente $2 millones en stablecoins y otros activos líquidos. Cuando se suman otras tenencias que pudieron haber sido movidas por separado, los expertos forenses estiman que el robo total podría superar los $40 millones, convirtiéndose en una de las brechas de cartera más significativas en la historia reciente de DeFi.

El uso de Tornado Cash representa un intento deliberado de romper la transparencia de la blockchain. Aunque no es infalible—los analistas de blockchain aún pueden identificar patrones sospechosos—el servicio de mixing logra complicar significativamente el rastreo de fondos y los esfuerzos de recuperación por parte de las autoridades.

La posición de préstamo en Aave crea riesgo de cascada de liquidaciones

En el momento del hackeo, la víctima había desplegado sus holdings de criptomonedas en Aave, una plataforma líder de finanzas descentralizadas. La cartera comprometida había aportado aproximadamente $25 millones en Ethereum como colateral, contra el cual la víctima había tomado prestado cerca de $12.3 millones en stablecoins DAI (que actualmente mantiene su paridad de $1.00).

Esta posición apalancada introduce un riesgo secundario peligroso. El factor de salud actual de la cartera—una métrica que mide qué tan cerca está una posición de una liquidación forzada—es de 1.68. Esto está alarmantemente cerca del umbral de liquidación de 1.0. Si el precio de Ethereum experimenta una caída significativa, la posición se activaría automáticamente, forzando la venta del colateral a precios potencialmente desfavorables. Esto no solo representa un problema para la víctima, sino también un riesgo sistémico para el mercado en general, ya que las liquidaciones forzadas generan presión de venta que puede desencadenar cascadas en otras posiciones cripto.

Lecciones sobre la seguridad en carteras de criptomonedas

El ataque subraya varias fallas críticas de seguridad que los usuarios de criptomonedas deben evitar:

Vectores de compromiso de la clave privada: La brecha inicial probablemente resultó de malware en el dispositivo de la víctima, un ataque de phishing dirigido a sus credenciales, o malas prácticas de seguridad operativa. Los atacantes usan cada vez más ingeniería social sofisticada para apuntar a individuos de alto patrimonio en el espacio cripto.

Firmado offline y carteras hardware: Los profesionales de seguridad recomiendan encarecidamente que los usuarios que gestionan grandes holdings de criptomonedas utilicen carteras hardware o dispositivos de firma offline dedicados. Estos mantienen las claves privadas completamente aisladas de sistemas conectados a internet donde operan malware y ataques de phishing.

Implementación verdadera de multisig: Una cartera multisig correctamente configurada requiere:

• Requisitos mínimos de firma 2-de-3 o 3-de-5
• Claves privadas almacenadas en dispositivos físicamente separados
• Claves gestionadas por diferentes partes (o la misma persona en ubicaciones geográficamente diversas)
• Auditorías de seguridad regulares en la configuración y despliegue de la cartera

Verificación más allá de la interfaz de usuario: Los usuarios deben verificar los detalles de las transacciones a nivel de hardware, no solo a través de una interfaz de usuario, que podría ser comprometida o falsificada.

Este robo de $27 millones es una lección costosa para toda la comunidad cripto: incluso las prácticas de seguridad establecidas, como las carteras multisig, solo ofrecen el marco de seguridad para el diseño previsto. Una cartera mal configurada no ofrece más protección que una configuración de firma única estándar, y las consecuencias pueden ser devastadoras. Para quienes gestionan activos sustanciales en criptomonedas, este incidente refuerza por qué una infraestructura de seguridad de nivel profesional no es opcional—es esencial.