Dos altos ejecutivos de MoonPay, una importante empresa de pagos en criptomonedas, supuestamente se convirtieron en víctimas de un elaborado fraude en línea que les llevó a perder $250,300, según una reciente denuncia presentada ante el Departamento de Justicia de EE. UU. (DOJ).
La denuncia, presentada para recuperar 40,350 USDT (una stablecoin vinculada al valor del dólar estadounidense) que la empresa de criptomonedas Tether está actualmente reteniendo en cuentas congeladas, se refiere a las víctimas solo como “Ivan” y “Mouna.” Pero la cobertura del medio de criptomonedas NOTUS sugiere que son Ivan Soto-Wright, cofundador y director ejecutivo de MoonPay, y Mouna Ammari Siala, directora financiera de la empresa.
El DOJ dice que los dos ejecutivos fueron estafados al mover fondos a una cuenta controlada por un individuo que creían era Steve Witkoff, un destacado desarrollador inmobiliario estadounidense y copresidente del comité inaugural del presidente Donald Trump en 2017.
El análisis de datos de blockchain indica que el USDT fue transferido a una billetera asociada con Binance. La billetera está asociada con Ehiremen Aigbokhan, un ciudadano nigeriano residente en Lagos.
El episodio representa un caso público inusual en el que jugadores senior de la industria, que tenían acceso a herramientas avanzadas de criptomonedas y protocolos de seguridad, demostraron ser tan susceptibles a lo que los investigadores llaman una forma bastante simple de ingeniería social como el usuario promedio de correo electrónico.
El estafador empleó un ‘error tipográfico insultante’ para imitar a una figura pública
A diferencia de otros crímenes de criptomonedas que dependen de hackeos o la explotación de vulnerabilidades en la blockchain (y quizás por esa razón sola), esta estafa se ejecutó a través del engaño mediante manipulación discreta de correos electrónicos.
Los estafadores emplearon direcciones de correo electrónico falsas prácticamente idénticas a las correctas —sustituyendo una “I” mayúscula por una “l” minúscula en los nombres de dominio— para engañar a sus objetivos. En esta situación, los correos electrónicos se enviaron desde [email protected] y [email protected] — direcciones que suplantaban los nombres de personas y eventos bien conocidos.
Esta práctica, llamada typosquatting, se utiliza frecuentemente en estafas de phishing y ha demostrado ser efectiva para estafar incluso a profesionales que son conscientes de la seguridad.
“Los datos de geolocalización IP mostraron consistentemente que los correos electrónicos de estas cuentas provenían de Nigeria, y no de los Estados Unidos”, dice la denuncia del DOJ. Según las autoridades, Aigbokhan probablemente obtuvo el USDT debido a una estafa que involucró una transferencia de dinero internacional en EE. UU.
Los estafadores no necesitaban hackear ni explotar la blockchain de ninguna manera; solo necesitaban un engaño y un argumento convincente para robar los fondos.
La actividad de la billetera plantea más dudas sobre MoonPay
La denuncia señaló que una de las billeteras involucradas en la estafa es una billetera de MoonPay marcada en Etherscan, lo que sugiere que las personas afectadas son probablemente Ivan Soto-Wright y Mouna Ammari Siala.
Hasta el momento de la publicación, MoonPay aún no ha respondido públicamente a las solicitudes de comentarios de múltiples medios, incluidos The Block y NOTUS.
El momento del caso es particularmente delicado. Y en la última expansión, MoonPay, una popular infraestructura de pagos para compras de criptomonedas, hizo que sus servicios estuvieran disponibles solo en unos pocos estados de EE. UU. Aún así, el mes pasado, el NYDFS le otorgó una BitLicense, lo que tiene la consecuencia de permitir a la empresa operar en los 50 Estados Unidos. Es una de las licencias regulatorias de criptomonedas más difíciles de obtener en EE. UU. y vital para hacer negocios en la capital financiera.
El incidente puede plantear preguntas adicionales sobre los controles de seguridad internos de MoonPay, los procesos de verificación y la supervisión ejecutiva, particularmente si las víctimas en este caso realmente utilizaron las billeteras oficiales de la empresa para realizar lo que parecen ser transacciones personales o mal verificadas.
En medio del auge de la adopción de criptomonedas, el caso es un recordatorio sobrio de que nadie es inmune al fraude digital, ni siquiera los ejecutivos de las empresas que ayudan a construir la infraestructura de la economía de criptomonedas.
Diferencia clave Wire: la herramienta secreta que los proyectos de criptomonedas utilizan para obtener cobertura mediática garantizada