Por Angel Di Matteo   𝕏 @shadowargel

Un atacante vinculado al exploit de Coinbase Commerce reactivó sus wallets este mes, moviendo parte de los fondos robados a Tornado Cash con la intención de borrar el rastro de los activos.

***

  • Más de USD $5.400.000 en ETH fueron enviados a Tornado Cash en una serie de depósitos escalonados.
  • Investigadores on-chain vinculan la actividad al hack ocurrido en abril de 2024 sobre Polygon.
  • El movimiento ocurre en medio de una fuerte presión bajista sobre el mercado cripto.

 

Tras casi dos años de inactividad en Blockchain, una dirección vinculada al hack de Coinbase Commerce ocurrido en 2024 volvió a registrar movimientos. Datos on-chain indican que, desde enero de 2026, el atacante comenzó a mover fondos asociados al exploit, reactivando un caso que había permanecido prácticamente congelado.

De acuerdo con el análisis de transacciones, reseñado por Cryptopolitan, la wallet vinculada al robo depositó cerca de USD $5.400.000 en ETH en Tornado Cash. Antes de estos envíos, la misma dirección trasladó aproximadamente USD $5.800.000 en DAI hacia una nueva wallet, donde los fondos fueron intercambiados por Ethereum y posteriormente fraccionados para su envío al mezclador.

Los depósitos siguieron un patrón claro de “batching”. El atacante realizó veinte transferencias de 100 ETH, seguidas por montos menores que incluyeron 10 ETH, 1 ETH y transferencias fraccionadas. Este tipo de comportamiento suele interpretarse como un intento de maximizar el anonimato y dificultar el rastreo posterior de los fondos.

A pesar de esta actividad, no todos los activos vinculados al exploit han sido movidos. Una wallet separada, también asociada al atacante, aún mantiene alrededor de USD $4.600.000 en DAI, lo que sugiere que el proceso de lavado o redistribución de fondos podría continuar en fases posteriores.

Contexto de mercado y presión sobre ETH

El resurgimiento de estas transacciones ocurre en un momento complejo para el mercado cripto global. Durante los últimos siete días, ether ha registrado una caída cercana al 10%, reflejando una presión vendedora significativa en los principales mercados.

Cuando el exploit tuvo lugar en abril de 2024, ETH se negociaba dentro de un rango aproximado de USD $3.100 a USD $3.700. En contraste, al momento de reactivarse las wallets vinculadas al ataque, el precio promedio ronda los USD $2.890, de acuerdo con datos de mercado ampliamente citados por analistas.

Este contexto refuerza la atención sobre el caso, ya que los movimientos del atacante no solo tienen implicaciones legales y de seguridad, sino que también se producen en un entorno de mayor sensibilidad para los precios y la liquidez del ecosistema.

El exploit de Coinbase Commerce en 2024

El origen del caso se remonta a abril de 2024, cuando el investigador on-chain ZachXBT alertó sobre salidas sospechosas desde un contrato de Coinbase Commerce. El 21 de abril de ese año, dicho contrato registró más de 1.700 salidas de USDC en un período de 16 horas sobre la red Polygon.

El valor total de esas transferencias alcanzó los USD $15.970.000. El patrón observado sugería que un comerciante que utilizaba Coinbase Commerce había sido hackeado, con fondos drenados mediante transferencias repetidas y sistemáticas.

Posteriormente, los USDC robados fueron puenteados desde Polygon hacia la red principal de Ethereum. Una vez allí, los activos se intercambiaron por ETH y se distribuyeron entre tres wallets distintas, fragmentando el rastro original del robo.

Dormancia, lavado parcial y reactivación en 2026

Tras la fase inicial de lavado en 2024, la mayor parte de los fondos vinculados al exploit dejó de moverse. Las wallets asociadas permanecieron inactivas durante meses, lo que llevó a muchos observadores a considerar el caso como prácticamente cerrado desde el punto de vista operativo.

Sin embargo, una porción menor de los activos fue posteriormente canalizada a través de exchanges descentralizados y plataformas de staking. Estas operaciones habrían servido para mover fondos hacia nuevas direcciones, manteniendo un bajo perfil en la actividad on-chain.

Investigadores también detectaron que una de las direcciones de depósito mostraba una alta exposición a infraestructura conocida de “drainers”, lo que fue señalado como una señal de riesgo adicional. En este contexto, los depósitos en Tornado Cash realizados en enero de 2026 representan la primera actividad significativa asociada al exploit en casi dos años.

Antecedentes recientes de seguridad en Coinbase

El caso de Coinbase Commerce se suma a otros incidentes de seguridad que han afectado al ecosistema de Coinbase. En mayo de 2025, la empresa reveló un ciberataque separado que, según la compañía, podría costar hasta USD $400 millones.

En ese incidente, atacantes obtuvieron acceso limitado a datos de clientes mediante el soborno de contratistas y empleados. La información fue utilizada para suplantar a Coinbase y engañar a usuarios, aunque la empresa aclaró que menos del 1% de sus clientes resultaron afectados.

Coinbase informó que los atacantes exigieron un rescate de USD $20 millones, el cual fue rechazado. La compañía aseguró que las claves privadas no se vieron comprometidas y se comprometió a reembolsar a los usuarios afectados, subrayando que el incidente no comprometió directamente la custodia de fondos.

Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados