El mundo de la privacidad de las criptomonedas es un gran problema. Para aquellos que tienen algo que ocultar, existen los llamados mezcladores de criptomonedas que ocultan la identidad de los propietarios mezclando la moneda digital en grupos, desvinculándola de las billeteras criptográficas originales y haciendo que sea casi imposible conocer la fuente original de los fondos.
En 2022, el mezclador quizás más notorio, Tornado Cash, fue incluido en la lista negra del Departamento del Tesoro de Estados Unidos por supuestamente blanquear miles de millones de dólares para delincuentes, incluido el grupo que se hace pasar por Corea del Norte.
Las autoridades policiales de Estados Unidos afirman que un grupo de piratas informáticos norcoreanos conocido como Lazarus Group ha estado utilizando mezcladores como Blender.io , Tornado Cash, Railgun y Sinbad.io para blanquear criptomonedas robadas.
El gráfico a continuación muestra que los mezcladores se han utilizado para blanquear más de 700 millones de dólares en fondos robados de aplicaciones basadas en blockchain como el juego en línea Axie Infinity, Atomic Wallet y Harmony Bridge, que es una herramienta que permite a los usuarios mover tokens de la blockchain de Harmony a otras redes importantes como Ethereum. Según un informe del Wall Street Journal, Lazarus ha robado más de 3.000 millones de dólares en criptomonedas.
Hackeos de criptomonedas del grupo Lazarus
Los hackers (rojo) y los mezcladores (verde) utilizados para blanquear presuntamente las ganancias. Los números en verde no siempre son iguales a los números en rojo porque los fondos hackeados no siempre son iguales a los fondos blanqueados, y algunos fondos se blanquean más de una vez.
El hackeo de Harmony se destaca de los demás porque las autoridades policiales estadounidenses no han sancionado a Railgun, a diferencia de los otros mezcladores mencionados anteriormente. El Tesoro no respondió a una solicitud de comentarios sobre Railgun.
Sin embargo, nueva información sugiere que Digital Currency Group (DCG), propietario del administrador de fondos de criptomonedas de $ 25 mil millones Grayscale, probablemente se benefició del lavado de dinero a través de Railgun.
Una investigación de Forbes de dos meses respaldada por datos de la empresa de inteligencia blockchain ChainArgos muestra que DCG recibió $ 436,906 en tarifas de Railgun desde junio de 2023 hasta la actualidad.
Esta cifra representa el 18% de los $ 2,4 millones que Railgun pagó. Según Elliptic, el mezclador Railgun puede haber estado involucrado en hasta $ 60 millones de lavado para Lazarus Group en 2023.
Un portavoz de la empresa DCG se negó a hacer comentarios sobre esta historia. Varias solicitudes de comentarios enviadas a Railgun no recibieron respuesta.
El truco de la armonía
En junio de 2022, según el FBI, el Grupo Lazarus de Corea del Norte robó 100 millones de dólares en criptomonedas, incluidos ether, USDC, WBTC y otros 11 tokens, del puente blockchain Harmony. Obtuvo los fondos comprometiendo la contraseña de uno de los administradores del puente a un programa de almacenamiento en la nube, que luego utilizó para robar las claves privadas que salvaguardaban los activos de los clientes en tránsito. “Los fondos robados permanecieron inactivos durante siete meses”, afirmó la firma de criptoforense Elliptic, cuando “entre el 11 y el 14 de enero de 2023, se enviaron 41.647 ETH al contrato de retransmisión Railgun a través de 71 cuentas”. La estrategia de salida de Railgun del Grupo Lazarus también se rastreó hasta “184 cuentas intermediarias antes de depositar en varios intercambios utilizando 19 direcciones de depósito dirigidas a Huobi, Binance y OKX”.
El 16 de abril de 2024, Railgun, con sede en el Reino Unido, negó la supuesta mezcla en X y dijo: “Esto no es cierto y es un informe falso”. Aun así, hubo un aumento masivo en el uso y las tarifas de Railgun a principios de 2023. Históricamente, Railgun manejaba volúmenes de mezcla de entre 1 y 5 ether por día. El volumen aumentó a 41.000 eth el 13 de enero, coincidiendo con el presunto lavado, y nunca se ha vuelto a alcanzar.
Inversión de DCG
En enero de 2022, DCG invirtió 10 millones de dólares en Railgun y, a cambio, recibió 5 millones de RAIL (el token nativo de la red). Según los precios recientes, la inversión de DCG en RAIL ahora vale 3,9 millones de dólares, una caída de más del 60 %.
DCG hizo staking de estos tokens, que es una forma de publicarlos como garantía en el protocolo para poder votar sobre decisiones comerciales importantes sobre su futuro y recibir una parte de las tarifas de la red pagadas por los usuarios. Los tokens RAIL de DCG se publicaron en cinco billeteras Ethereum independientes:
0x5348b77cF55B90147CbB6a938e0058DD25cbF0CA
0x3decD5DA4bC6489dfe1e73d0469c59f281ED8811
0x54Aa22EaCB1da8Ee635Ab0E94C8DA77F49916b4E
0x02698237DDC5Cf63660DA2cfD10934C911433724
0xE82f012dd671f94094d0c33D9E8c99330D1D2B79
Además, DCG donó 7,1 millones de dólares en una moneda estable llamada DAI, cuyo valor está vinculado al precio del dólar estadounidense, y a la tesorería de Railgun para uso comercial general. “Es muy novedoso que un gran inversor envíe fondos a una tesorería DAO totalmente descentralizada en apoyo de un proyecto, sin ninguna clave de administración o equipo multisig”, dijo en un comunicado en ese momento el abogado Edward Fricker, que asesoró sobre el acuerdo en nombre de Railgun.
Según datos de ChainArgos y Elliptic, Forbes calcula que el presunto lavado de 60 millones de dólares por parte de Corea del Norte creó un fondo común de comisiones de al menos 260.000 dólares que estaba disponible para su retiro de Railgun a partir del 21 de enero de 2023. Sin embargo, DCG esperó para solicitar su parte de las comisiones de Railgun hasta junio de 2023. Durante ese lapso, otras 26 direcciones de blockchain reclamaron comisiones a Railgun.
¿DCG esperó cinco meses para reclamar sus honorarios en un esfuerzo por distanciarse de la supuesta actividad ilícita? DCG no respondió a Forbes. El director ejecutivo de ChainArgos, Jonathan Reiter, dijo lo siguiente: “Si mezclar los honorarios derivados del lavado de fondos es legal simplemente esperando unas semanas, las autoridades no se impresionarían”.
Pero no habría importado. El código de Railgun vincula automáticamente las tarifas acumuladas a una dirección o destinatario en stake. “Hay pruebas concluyentes de que DCG reclamó recompensas por el supuesto incidente de lavado de dinero de enero de 2023”, dice Matthew Sampson, cofundador de la firma de análisis de blockchain Gray Wolf. “El contrato inteligente de Railgun especifica a quién se le debe una recompensa y los tokens para ese período se reservaron para DCG, independientemente de cuándo se reclamaron”.
Recompensas de cañones de riel para DCG
El gráfico a continuación muestra las recompensas por comisiones pagadas recientemente por Railgun a las billeteras de DCG. No todos los ingresos por comisiones del mezclador provienen del supuesto lavado de dinero.
Las recompensas debidas al RAIL en stake en las cinco billeteras anteriores se delegaron a la dirección [0xFED429FB7d243380B25bC11B10561D5A27f42D8E], que ilustra los vínculos con la recepción de recompensas de Railgun por parte de DCG. Los tokens de recompensa fueron recibidos por cada destinatario en forma de tres tokens, la moneda estable DAI (49%), el token de gobernanza RAIL (30%) y también ETH envuelto (WETH, 21%). Una moneda estable es equivalente a una unidad de monedas fiduciarias seleccionadas, en este caso el dólar estadounidense. El token de gobernanza RAIL permite a los titulares votar sobre las propuestas para cada token que poseen, similar a la votación por poder en el mundo de las acciones. WETH es un ETH que ha sido “envuelto”. Esto le permite moverse a través de múltiples protocolos de blockchain y no estar restringido a su protocolo nativo Ethereum.
Cumplimiento de DEFI
La participación de DCG en este episodio es un ejemplo de cómo las aplicaciones de finanzas descentralizadas (DeFi) en criptomonedas que reflejan las funciones bancarias en una cadena de bloques luchan por equilibrar las herramientas de privacidad con la necesidad de mantener a los actores maliciosos fuera de sus sistemas. Un estribillo común de los creadores de estas plataformas es que están descentralizadas y, por lo tanto, fuera del control de cualquiera. Sin embargo, esa explicación rara vez convence a los funcionarios encargados de hacer cumplir la ley, especialmente en los EE. UU.
Según la guía de las autoridades estadounidenses sobre las responsabilidades de la Ley de Secreto Bancario publicada en octubre de 2021, “los miembros de la industria de la moneda virtual son responsables de garantizar que no participan, directa o indirectamente, en transacciones prohibidas por las sanciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro, como tratos con personas o bienes bloqueados, o participar en transacciones prohibidas relacionadas con el comercio o la inversión”. Refiriéndose específicamente a los proyectos DeFi, un portavoz de la unidad de Investigación Criminal del Servicio de Impuestos Internos le dijo a Forbes que “estas plataformas requieren un mantenimiento y desarrollo continuos para seguir el ritmo de la tecnología y mantener a raya a los delincuentes, y eso requiere que la empresa detrás de la plataforma DeFi supervise lo que está sucediendo en la plataforma y garantice el cumplimiento de las leyes y regulaciones”.
Las violaciones de la Ley de Secreto Bancario a menudo pasan desapercibidas, en parte porque el gobierno estadounidense no cuenta con el personal suficiente. “La FinCEN lleva años careciendo de recursos suficientes y puede tener como máximo 10 personas responsables de miles de empresas de servicios monetarios, incluidas las bolsas de criptomonedas, algunas de las cuales mueven billones de dólares al año”, afirma Amanda Wick, exreguladora del Departamento de Justicia y directora de Incite Consulting.
“El [gobierno] tiene poco personal y la delincuencia está aumentando”, añade Victor Fang, director ejecutivo y cofundador de la empresa de análisis de cadenas de bloques Anchain, que trabaja en estrecha colaboración con el Equipo de Investigaciones Criminales del Servicio de Impuestos Internos que rastrea los delitos financieros. “Hay 50.000 casos en los escritorios de las fuerzas del orden solo en los EE. UU., así que, ¿cómo exactamente van a utilizar Chainalysis u otros proveedores de forma manual? Es imposible”.
Parece que Railgun está trabajando en una solución tecnológica para mejorar su cumplimiento normativo. En mayo de 2023, Railgun se asoció con Chainway Labs, creador de “Proof of Innocence”, para introducir una nueva funcionalidad que podría hacer que cumpliera mejor con las normativas. La solución Proof of Innocence, también llamada Privacy Pools, permite a los usuarios elegir si dar o no una prueba criptográfica de que los tokens de usuario no provienen de billeteras autorizadas. Los buenos proporcionan esa prueba, los malos se mantienen alejados, o eso es lo que se piensa. El problema es que los malos crean fácilmente una serie de nuevas billeteras no autorizadas, con capas de separación de sus actividades ilícitas, para burlar soluciones como esta.
Patrick Tan, asesor general de ChainArgos, afirma: “No es posible tener un sistema que no requiera permisos y que sea compatible: siempre quedará atrás cuando se trate de incluir en listas negras o intentar atrapar a los malos”.