La billetera hackeada de Coinbase Commerce se reactivó después de casi dos años
La billetera vinculada a Coinbase Commerce, hackeada en 2024, volvió a la actividad tras casi dos años de inactividad. Los datos on-chain muestran que el atacante comenzó a transferir fondos en enero de 2026. En los nuevos movimientos, ha depositado hasta la fecha $5.4 millones en Ethereum en Tornado Cash .
Antes de los depósitos, la dirección vinculada al robo transfirió aproximadamente 5,8 millones de dólares en DAI a una nueva billetera. Ese DAI se intercambió por Ether. El ETH se dividió en múltiples depósitos, y la actividad de Tornado Cash siguió un claro patrón de agrupación. El atacante envió veinte depósitos de 100 ETH, seguidos de cantidades menores. Estos incluyeron 10 ETH, 1 ETH y transferencias fraccionadas. Sin embargo, una billetera separada vinculada al atacante aún conserva aproximadamente 4,6 millones de dólares en DAI.
Esto ocurre en un momento en que el mercado global de criptomonedas enfrenta una fuerte presión de venta. Ethereum ha caído casi un 10 % en los últimos 7 días. ETH cotizaba entre $3100 y $3700 en abril de 2024, cuando ocurrió el exploit. Actualmente, Ether cotiza a un precio promedio de $2890.
Explosión de Coinbase Commerce
Eldent se traca la fecha señalada en abril de 2024. El investigador en cadena ZachXBT reportó salidas sospechosas de untracde Coinbase Commerce en ese momento. El 21 de abril de 2024, eltracregistró más de 1700 salidas de USDC en un período de 16 horas en Polygon. El valor total alcanzó los 15,97 millones de dólares.
El patrón sugería que un comerciante que usaba Coinbase Commerce había sido víctima de una vulnerabilidad de seguridad. Los fondos se extraviaron en repetidas transferencias. El USDC robado se transfirió posteriormente de Polygon a Ethereum . Se intercambió por Ether y se dividió en tres billeteras.
El atacante ha reanudado su actividad después de casi dos años de inactividad y ahora está depositando fondos robados en Tornado Cash.
Hasta ahora se han depositado un total de 5,4 millones de dólares.
Antes de esto, la dirección robada transfirió $5.8 millones de DAI a una nueva billetera, que posteriormente se intercambió por… https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U
— Specter (@SpecterAnalyst) 26 de enero de 2026
Poco después del robo, un actor de amenazas con el alias "Excite" comenzó a hablar sobre los fondos en chats privados. ZachXBT vinculó estas afirmaciones con las direcciones vinculadas a las salidas. Mencionó que, en mayo de 2024, un usuario de Telegram con el alias "tezedasads12" envió una transacción de 1 DAI. La transferencia se utilizó para demostrar el control de una billetera que contenía aproximadamente 6 millones de dólares del robo.
El mismo actor reivindicó la propiedad del nombre de usuario de Instagram "Excite". También intentó comprar un nombre de usuario de Telegram similar, pero fracasó. La cuenta de Instagram era inicialmente privada, pero luego se hizo pública. La cuenta mostraba relojes de lujo y otros artículos de gran valor.
ZachXBT declaró que información de fuentes abiertas sugería que el individuo podría residir en Dinamarca. Este detalle no fue confirmado de forma independiente dent Tras la fase inicial de lavado de activos, la mayoría de los fondos dejaron de circular. Las billeteras vinculadas al exploit quedaron inactivas. Mientras tanto, una porción menor de los fondos se transfirió posteriormente a través de plataformas de intercambio descentralizadas y de staking. Estas transacciones se utilizaron para transferir activos a nuevas billeteras.
Una dirección de depósito mostró una alta exposición a infraestructura de drenaje conocida. Los investigadores lo identificaron como una señal de riesgo. de Tornado Cash marcan la primera actividad importante relacionada con el exploit en casi dos años.
Hackeo de Coinbase en 2025
El caso se suma a una serie dedentde seguridad relacionados con Coinbase. En mayo de 2025, Coinbase reveló otro ciberataque. La compañía afirmó que eldent podría costar hasta 400 millones de dólares. En ese caso, los atacantes obtuvieron datos limitados de clientes mediante el pago atracy empleados. Los datos se utilizaron para suplantar la identidad de Coinbase y engañar a los usuarios.
Coinbase afirmó que menos del 1% de sus clientes se vieron afectados. Los atacantes exigieron 20 millones de dólares y Coinbase se negó a pagar. Las claves privadas no se vieron comprometidas. Sin embargo, la compañía afirmó que reembolsaría a los usuarios afectados.
Únase a una comunidad premium de comercio de criptomonedas gratis durante 30 días (normalmente $100/mes).
Artículos Recomendados
