La firma de seguridad blockchain CertiK dijo que había rastreado aproximadamente $63M en depósitos a Tornado Cash que estaban vinculados a un compromiso de billetera de $282M. La firma publicó sus hallazgos el 19 de enero de 2026 después de que el monitoreo en la cadena revelara una cadena de blanqueo de múltiples pasos.
La brecha comenzó con un ataque de ingeniería social que expuso la frase semilla de la víctima, lo que permitió al atacante vaciar alrededor de 1,459 BTC y más de 2 millones de LTC, según CertiK e investigadores blockchain.
Los investigadores atribuyeron la pérdida inicial a un esquema de ingeniería social dirigido. El investigador blockchain ZachXBT reportó que el atacante se hizo pasar por el soporte de la billetera y persuadió a la víctima para que revelara la frase semilla, lo que proporcionó acceso total a la cuenta que contenía los grandes saldos en BTC y LTC.
Una vez obtenido el acceso, el atacante movió los fondos rápidamente a través de cadenas y servicios para reducir la trazabilidad. La línea de tiempo de CertiK mostró conversiones inmediatas y actividad entre cadenas dirigida a dispersar los ingresos en múltiples direcciones en la cadena.
Cadena de blanqueo, mitigación y opinión de expertos
El mapeo forense de CertiK identificó varios pasos distintos: al menos 686 BTC fueron puenteados a Ethereum y convertidos en aproximadamente 19,600 ETH que aterrizaron en una única dirección de Ethereum, para luego fragmentarse entre muchos intermediarios. Desde esas direcciones, se reenviaron varios cientos de ETH a la vez en saltos y un tramo valorado en aproximadamente $63M fue depositado en Tornado Cash, según el informe.
Los analistas de seguridad describieron el patrón como un manual de blanqueo establecido. Marwan Hachem, CEO de la firma de seguridad FearsOff, calificó el uso de swaps entre cadenas, puentes similares a THORswap y la posterior fragmentación en trozos de ~400 ETH como “típico” y advirtió que Tornado Cash funcionaba como “un gran interruptor que anula la trazabilidad”, señalando que las posibilidades de recuperación caen drásticamente después de los depósitos en el mezclador.
Algún trabajo de recuperación sí tuvo éxito: la firma de seguridad ZeroShadow informó que alrededor de $700,000 de los fondos robados fueron identificados y congelados temprano en la secuencia, pero la mayor parte de los activos fueron encaminados fuera del alcance práctico una vez que la fragmentación y las herramientas de privacidad entraron en juego.
CertiK también señaló que los swaps hacia otros activos enfocados en la privacidad coincidieron con movimientos de mercado como un aumento del precio de Monero.
El episodio subraya cómo las brechas dirigidas a humanos se combinan con la ofuscación automatizada en la cadena para dificultar la recuperación. Los participantes del mercado y los equipos de cumplimiento observarán cómo avanzan nuevos rastreos, congelamientos y cualquier acción legal, porque recuperaciones adicionales o intervenciones de las fuerzas del orden podrían cambiar el cálculo sobre la rapidez con que los fondos mezclados se vuelven irrecuperables.
