Toby Hoenisch, cofundador y ex CEO de TenX, parece ser el rostro detrás de uno de los hacks más importantes ocurridos en la industria, el robo a The DAO de 3,64 millones de ethers.

Una exhaustiva investigación realizada por la periodista Laura Shin, utilizando avanzadas herramientas de análisis de la firma forense blockchain Chainalysis, acusa al cofundador y ex CEO de TenX, Toby Hoenisch, de haber perpetrado el hackeo de 3,64 millones de ethers al fondo de capital de riesgo descentralizado The DAO, en 2016.

Laura Shin, criptoperiodista y autora de The Cryptopians, hizo pública una investigación que apunta a Hoenisch como la persona responsable del millonario robo a The DAO. En su publicación, Shin adelanta que recibió una queja de Hoenisch, indicando que su investigación era incorrecta y que podía proporcionar pruebas para desmentir sus hallazgos. No obstante, tras varios intentos, no pudo volver a comunicarse con él, mientras que toda la evidencia lo señala como el hacker, indicó Shin. 

El hack a The DAO es uno de los más importantes ocurridos en la historia de las criptomonedas hasta ahora. Debido a este suceso, la blockchain de Ethereum se bifurcó, dando origen a la red conocida como Ethereum Classic. Al momento del hack, los 3,64 millones de ethers robados al fondo descentralizado estaban valorados en unos 50 millones de dólares. Actualmente, esta misma cantidad de ethers supera los 9.000 millones de dólares, con ETH cotizando cerca de los 2.600 dólares por unidad. 

Te puede interesar: Los usuarios de Opensea sufren el robo de $2,9 millones en NFT debido al phishing

Toby Hoenisch y el hack a The DAO

La investigación de Shin, que recae sobre Hoenisch, señala que en 2016 el ex CEO de TenX había detectado varias vulnerabilidades técnicas en el proyecto The DAO. Aunque las informó al equipo de desarrolladores, parece que estos no tomaron sus advertencias lo suficientemente en serio, lo que pudo motivar a Hoenisch a perpetrar el hack. Shin señaló que el gran ego Hoenisch pudo llevarlo a realizar el ataque, justificándose en el hecho de que el código era defectuoso y permitía el exploit.

Como dato importante, luego del ataque a The DAO, el hacker publicó una carta anónima dirigida a la comunidad y a los desarrolladores, donde indicaba que los 3,64 millones de ethers eran parte de su “recompensa legítima” al utilizar una “función” explícitamente codificada en el contrato inteligente de The DAO. Incluso, amenazó con emprender acciones legales si los fondos eran congelados o incautados, ya que según él y sus abogados, sus acciones cumplían totalmente con la ley penal y de responsabilidad civil de los Estados Unidos. 

Por otro lado, Julian Hosp, también cofundador de TenX, le dijo a Shin que Hoenisch era una persona muy testaruda. “Siempre creyó que tenía razón. Siempre», señaló.  

Toby Hoenisch afronta el peso de las acusaciones de Shin, quien reconoce estar especulando sobre los motivos que pudieron conllevar al hack, por la falta de comunicación. “Dado que Hoenisch no quiere hablar conmigo, solo puedo especular sobre sus posibles motivos”, escribió Shin. 

The DAO, la base del crowdfunding en cripto

The DAO fue una de las primeras organizaciones descentralizadas creadas en Ethereum, catalogada en ese momento como el mayor evento crowdfunding en la industria cripto. En poco tiempo, The DAO reunía más de 11,5 millones de ethers, valorados en unos 150 millones de dólares. Sus miembros ascendían a unas 20.000 personas de todo el mundo que habían depositado su dinero dentro de esta organización descentralizada con la intención de invertirlo o ahorrarlo a largo plazo. 

El hack y el hard fork

No obstante, el rápido crecimiento del proyecto llevó a los desarrolladores a ignorar las advertencias de seguridad que habían publicado varios de sus miembros. Además de Hoenisch, otros 3 investigadores también informaron sobre las vulnerabilidades en el código de The DAO. Advertencias que también fueron ignoradas por el equipo de desarrollo. Así, en julio de 2016, el proyecto fue explotado, permitiendo al hacker sustraer cerca del 31% de los fondos almacenados en ether. 

Irónicamente, una de las vulnerabilidades le impedía al hacker acceder inmediatamente a los fondos robados. De hecho, debía enviar los ethers a un DAO secundario y esperar 28 días para poder acceder a ellos. Esta situación le dio tiempo a la criptocomunidad para debatir sobre las medidas que debían tomar para detener el robo. Vitalik Buterin, cofundador de Ethereum, intervino en las discusiones públicas, donde la mayoría apoyó la decisión de bifurcar la red para recuperar los fondos. 

El 20 de julio de 2016, la cadena de bloques de Ethereum se dividió. La antigua cadena pasó a conocerse como Ethereum Classic, que continúo su curso original con el hack, mientras que la nueva blockchain, Ethereum, permitió a los miembros de The DAO recuperar sus ethers robados.  

Seguimiento de los fondos

Con la cadena original como Ethereum Classic, el hacker pasó a tener ETC en lugar de ETH, que tenían menos valor. Luego del robo, el hacker movió los ETC a un nuevo monedero, que permaneció inactivo hasta octubre, cuando comenzó a intercambiar los fondos en la plataforma ShapeShift. En dos meses, el hacker logró intercambiar 230.000 dólares de ETC a BTC a través de este exchange. Aunque en ese momento, la plataforma permitía a las personas intercambiar criptomonedas sin necesidad de registro, ShapeShift terminó por bloquear los numerosos intentos de intercambio realizados por el hacker. 

Más tarde, partiendo de los análisis realizados por las firmas Coinfirm y Chainalysis, Shin detalla que el hacker envió 50 BTC a un monedero Wasabi, enfocado en el anonimato, que luego fueron intercambiados por la criptomoneda Grin (GRIN), también centrada en el privacidad. Los GRIN se retiraron a un nodo de Grin llamado grin.toby.ai. “La dirección IP de ese nodo también albergaba nodos Bitcoin Lightning: ln.toby.ai, lnd.ln.toby.ai… No era una VPN”, señaló Shin. 

Identificador: Tobyai

Según la investigación, “tobyai” fue el apodo utilizado por Toby Hoenisch para identificarse en distintas plataformas y redes sociales, como AngelList, Betalist, GitHub, Keybase, LinkedIn, Medium, Pinterest, Reddit, StackOverflow y Twitter. 

Por otro lado, Shin descubrió que la dirección de correo utilizada en las transacciones de retiro fueron del dominio @toby.ai. Hosp confirmó a la criptoperiodista que una de las direcciones de correo electrónico regulares que utilizaba Toby Hoenisch terminaba en @toby.ai. Además, reveló que había perdido dinero al invertir en GRIN, influenciado por Hoenisch que “estaba fascinado” con esa criptomoneda. 

Antes del hack a The DAO, Hoenisch publicó una serie de artículos en Medium sobre las vulnerabilidades presentes en el código de la DAO. Según Hosp, Hoenisch estaba extrañamente familiarizado con el hack a The DAO. “Entendió más sobre el hack de The DAO cuando le pregunté qué había sucedido… de lo que había encontrado en Internet o en cualquier otro lugar», afirmó.

Avances de la blockchain y la cripto regulación

Shin explica que ella y su equipo de investigadores utilizaron avanzadas herramientas de análisis blockchain, desarrolladas por Chainalysis, para seguir varias pistas sobre el hack a The DAO. 

Actualmente, el desarrollo y evolución de la tecnología blockchain ha llevado a las empresas de criptovigilancia a desarrollar sofisticadas herramientas de seguimiento y rastreo, que han degradado la idea de que el espacio cripto es un refugio ideal para los ciberdelincuentes. “A medida que surgen nuevas aplicaciones de blockchain, uno de los primeros usos de las criptomonedas, como escudo de anonimato, está en retirada”, afirmó Shin.

También, el auge de las criptomonedas ha aumentado la presión de los reguladores sobre las empresas que prestan servicios con criptoactivos, que están sujetas, en la mayoría de las jurisdicciones, a llevar un control sobre us clientes y sus movimientos financieros. 

Como se mencionó, Hoenisch no se ha comunicado con la criptoperiodista para refutar la evidencia que lo señala como el posible perpetrador del hack a The DAO. Además de esto, Shin dijo que luego de recibir el primer documento de su investigación, que detallaba los hechos que había recopilado, Hoenisch borró casi todo su historial en la red social Twitter. 

El hack a The DAO también es uno de los grandes misterios que rodean a Ethereum, actualmente la red líder para el desarrollo de smart contracts, DApps, NFT, juegos y Metaversos. La investigación de Shin sobre este hack se realizó como parte de su nuevo libro The Cryptopians: Idealism, Greed, Lies, and the Making of the First Big Cryptocurrency Craze, publicado recientemente. 

Continúa leyendo: ¿Qué es Mars Stealer? La nueva variante de Oski que ataca las extensiones de monedero de criptomonedas