coindesk.com
Un jubilado estadounidense dice más de 3 millones de dólares en XRP desaparecieron después de que verificara la aplicación móvil de Ellipal el 15 de octubre y vio que su saldo había desaparecido, un descubrimiento que impulsó un esfuerzo de rastreo on-chain por parte del analista seudónimo ZackXBT.
CoinDesk no ha verificado de manera independiente la identidad del inversor, los saldos ni el camino completo en la cadena. La cuenta proviene de varios videos de YouTube publicados desde el 15 de octubre, el público de Ellipal declaración el 18 de octubre, y del 19 de octubre de ZackXBTHilo X.
Lo que la víctima dice que ocurrió
El inversor, que se identificó como Brandon, dijo que vive en Carolina del Norte, tiene 54 años y que su esposa, de 60, también está retirada. Mencionó que la posición en XRP representaba casi todos sus ahorros para la jubilación y que habían planeado comprar una casa en Las Vegas.
Dijo que había estado acumulando XRP desde 2017 y que anteriormente poseía más, pero vendió una parte para gastos de subsistencia. En sus videos de YouTube, mencionó que descubrió el robo al revisar la aplicación Ellipal el miércoles 15 de octubre, y luego determinó que la sustracción ocurrió el domingo anterior, 12 de octubre.
Describió dos retiradas de prueba de 10 XRP alrededor de las 11:15 a.m. hora del Este, seguidas por un barrido de aproximadamente 1,209,990 XRP a una dirección recién creada, luego una rápida dispersión a través de decenas de billeteras y, finalmente, cientos. Señaló que permanecían saldos menores de otros activos, incluidos aproximadamente $1,000 en XLM y cerca de $900 en FLR.
Él declaró que presentó una denuncia en el Centro de Denuncias de Delitos en Internet del FBI y se puso en contacto con las autoridades locales, pero tuvo dificultades para comunicarse rápidamente con las unidades especializadas en cibercrimen. Mencionó que no sabe con exactitud cómo se sustrajeron los fondos de la billetera caliente.
La explicación de Ellipal y la confusión entre frío y caliente
Ellipal declaró el 18 de octubre que su revisión indicó que el usuario había importado la frase semilla del monedero hardware en la aplicación móvil de Ellipal, lo que recrearía el monedero en un dispositivo conectado a internet.
En un correo electrónico al usuario, Ellipal explicó que si la semilla de una billetera fría se utiliza en un teléfono o tableta, la semilla y las claves privadas resultantes se almacenarían en ese dispositivo, convirtiéndolo efectivamente en una billetera caliente y reduciendo considerablemente la seguridad.
Brandon indicó que tenía la aplicación de Ellipal tanto en un iPhone como en un iPad. Mencionó que la aplicación del iPhone mostraba un fondo azul, que según Ellipal denota una conexión con una billetera fría, y que la aplicación del iPad mostraba un fondo naranja, que según Ellipal indica una billetera caliente.
Ellipal enfatizó que sus dispositivos hardware están desconectados de la red y afirmó que no ha detectado robos que se originen directamente desde el hardware. La cuenta proporcionada por la empresa señala a un error del usuario, aunque esto por sí solo no demuestra cómo se produjo la vulneración.
Dónde supuestamente fueron los fondos, según la investigación de ZackXBT
En un hilo del 19 de octubre, ZackXBT afirmó haber identificado la dirección del robo al coincidir el tiempo y los montos del video. Informó que el atacante creó más de 120 órdenes de Ripple a Tron el 12 de octubre utilizando Bridgers, un servicio de intercambio anteriormente conocido como SWFT. Señaló que algunos exploradores de bloques etiquetan esos movimientos como “Binance” porque Bridgers utiliza el exchange para liquidez.
Él dijo que los fondos se consolidaron en Tron en TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw y para el 15 de octubre fueron distribuidos a corredores over-the-counter adyacentes a Huione, un mercado en línea en el sudeste asiático que ha sido citado en recientes acciones públicas por autoridades estadounidenses. CoinDesk no ha reproducido de manera independiente el rastreo completo ni ha confirmado los destinatarios finales.
Probabilidades de recuperación y conclusiones para los usuarios
ZackXBT advirtió que la mayoría de las firmas de “recuperación” son depredadoras, produciendo a menudo informes superficiales mientras cobran tarifas elevadas. Señaló que una rápida comunicación con investigadores creíbles y plataformas cumplidoras puede mejorar las probabilidades de alertas o congelamientos, pero las recuperaciones son raras una vez que los fondos se trasladan mediante intercambios entre cadenas (cross-chain) y en mercados OTC.
Para los usuarios, la lección principal es sencilla: si el objetivo es el almacenamiento en frío, no ingresen la semilla de una cartera de hardware en una aplicación móvil o de escritorio. Utilicen una semilla distinta para cualquier cartera caliente y consideren una frase de contraseña BIP39 para almacenamiento en frío de alto valor.
Brandon dijo que la pérdida eliminó lo que él consideraba el plan de jubilación de la pareja. Mencionó que compartió su experiencia para advertir a otros y buscar orientación, reconociendo al mismo tiempo que las probabilidades de recuperación son bajas.