¿Podrían las nuevas acusaciones contra WazirX revelar la verdad sobre el hackeo de julio, o los usuarios frustrados están alimentando teorías de conspiración infundadas?
WazirX bajo el radar “otra vez”
El 18 de julio, la comunidad criptográfica de la India se vio sacudida cuando WazirX, el mayor intercambio de criptomonedas del país, anunció un hack devastador. Se desvió la asombrosa cantidad de alrededor de 235 millones de dólares (2.000 millones de rupias) de una sola billetera, y las sospechas iniciales apuntaban al notorio Grupo Lazarus de Corea del Norte.
El intercambio rápidamente atribuyó la violación a fuerzas externas, pero desde entonces la narrativa ha dado un giro inesperado. El 26 de noviembre, un grupo vocal de usuarios de WazirX, reunidos bajo el lema “Justicia para los usuarios de WazirX”, alegó en X que esto podría no haber sido un ciberataque internacional en absoluto, sino un trabajo interno.
Sus afirmaciones están respaldadas por una cronología detallada de los acontecimientos que condujeron al ataque, que muestra una plataforma que lucha contra tensiones financieras, escrutinio regulatorio y caos operativo, argumentando que las circunstancias que rodearon la violación son demasiado coincidentes como para ignorarlas.
¿Podría esto realmente haber sido un trabajo interno? ¿O son estas sospechas simplemente el resultado de la frustración y un creciente sentimiento de desconfianza? Examinemos los hechos desde todos los ángulos y veamos qué luz pueden arrojar.
Las fichas de dominó que conducen al hack
Según el hilo viral de Twitter, los problemas de WazirX no comenzaron con el hackeo: se remontan a febrero de 2022, cuando el gobierno indio impuso un impuesto del 30% a las ganancias criptográficas.
Para WazirX, esta política provocó un colapso de los ingresos nocturnos. De repente, el otrora próspero intercambio se vio enfrentado a una reducción de la actividad de los usuarios y una reducción de las ganancias, una señal preocupante para cualquier negocio en el hipercompetitivo mercado de las criptomonedas.
Dos meses después, en abril de 2022, los fundadores de WazirX, Nischal Shetty y Siddharth Menon, se trasladaron permanentemente a Dubai.
Con el ecosistema criptográfico indio bajo un escrutinio cada vez mayor, su partida generó preguntas incómodas: ¿fue este un intento estratégico de protegerse de las presiones regulatorias o simplemente una medida de rutina que el público no entendió bien?
La situación empeoró en agosto de 2022, cuando la Dirección de Ejecución de la India congeló activos de WazirX por valor de 8 millones de dólares, alegando participación en lavado de dinero. Aunque WazirX negó estas acusaciones, la redada empañó la reputación del intercambio y añadió una inmensa tensión operativa.
En enero de 2023, los desafíos se profundizaron cuando Binance, el gigante criptográfico mundial y ex socio de WazirX, cortó todos los vínculos con el intercambio. Citando disputas de gobernanza, Binance exigió la transferencia de fondos, rompiendo efectivamente un sistema de apoyo crucial.
En enero de 2024, las cosas se volvieron más complejas cuando India prohibió por completo Binance, lo que obligó a muchos usuarios indios a transferir sus fondos nuevamente a WazirX, aumentando sus reservas a niveles enormes.
Según se informa, el intercambio concentró 235 millones de dólares (2.000 millones de rupias) en una sola billetera mientras distribuía otros 333 millones de dólares (2.500 millones de rupias) en 250.000 billeteras más pequeñas. Para algunos, esto fue una bomba de tiempo, dados los riesgos inherentes de centralizar una suma tan grande en un solo lugar.
El hack en sí se produjo en julio de 2024, eliminando los 235 millones de dólares almacenados en esa única billetera. Sin embargo, los críticos se apresuraron a plantear preguntas evidentes. ¿Por qué WazirX consolidaría una cantidad tan significativa en una ubicación vulnerable?
¿Fue esto pura negligencia o algo mucho más calculado, tal vez incluso un truco preparado?
Una red de acusaciones y discrepancias
Las consecuencias del hackeo de WazirX se han vuelto más complicadas cada día que pasa a medida que siguen surgiendo nuevas acusaciones y discrepancias financieras.
En medio de una creciente frustración, el canal de YouTube Crypto India analizó la segunda declaración jurada y los estados financieros de WazirX en septiembre, exponiendo cuestiones críticas relacionadas con las operaciones y la transparencia de la plataforma.
Una revelación importante de la declaración jurada de WazirX es su moratoria. solicitud en Singapur, que pretendía reestructurar sus obligaciones tras el hackeo. Inicialmente, la plataforma informó que el valor total de los fondos durante el hackeo fue de 570 millones de dólares, con 234 millones de dólares robados, una tasa de robo del 42%. Esta cifra se revisó posteriormente a 546 millones de dólares, lo que ahora sugiere que el 45% de los fondos fueron robados.
La discrepancia surge porque WazirX inicialmente incluyó los saldos de INR administrados por Zanmai Labs, su entidad india, en los libros de Zettai, su brazo con sede en Singapur, lo que resalta los débiles controles internos, lo que erosiona aún más la confianza de los usuarios.
Además, de 4,2 millones de usuarios, sólo 431 expresaron su apoyo a la moratoria, lo que representa sólo el 0,01% de la base total de usuarios. Financieramente, estos usuarios de apoyo representan pasivos de 9,2 millones de dólares, muy por debajo del umbral de 410 millones de dólares necesario para la aprobación de la moratoria.
A las dudas se suma una revisión clave en los estados financieros de WazirX. La situación se vuelve aún más turbia cuando se examinan los estados financieros de WazirX. Zettai reportó ingresos de 108 millones de dólares en 2022 y 12 millones de dólares en 2023, pero los patrones de gastos son alarmantes.
Por ejemplo, se gastaron 79 millones de dólares (casi el 80% de sus ingresos de 2022) en ventas y marketing, sin un desglose detallado de cómo o dónde se utilizaron los fondos. Otros 15 millones de dólares figuraban en gastos administrativos, pero estas cifras siguen siendo vagas e inexplicables.
Aún más preocupante es que pasivos por valor de 23 millones de dólares se agruparon en la categoría ambigua de “Otros”, que representan el 99% del total de pasivos, una evidente señal de alerta en los informes financieros que sugiere una posible confusión.
La controversia desembocó en acciones legales, y la plataforma rival CoinSwitch presentó una demanda contra WazirX en septiembre para recuperar fondos supuestamente atrapados en la plataforma después del hackeo.
CoinSwitch, un ex socio de Zanmai Labs, afirma que WazirX no ha proporcionado claridad sobre si sus tokens estaban almacenados en billeteras seguras o si estaban comprometidos en el hack.
A pesar de las afirmaciones de WazirX de una infraestructura no comprometida, la ausencia de informes de auditoría o análisis detallados de incidentes deja a los usuarios en la oscuridad, sin estar seguros de lo que realmente sucedió, o de si sus activos restantes están seguros.
El plan de WazirX para reembolsar a los usuarios
En medio de una presión creciente y preguntas sin resolver tras el ataque de julio, WazirX ha introducido un plan estructurado para compensar a sus acreedores. Si bien el plan promete un reembolso eventual, viene con condiciones que requieren que los usuarios absorban una pérdida inmediata.
Un elemento central de este esfuerzo es el lanzamiento de una “calculadora de reequilibrio”, ahora disponible en la plataforma, que calcula el monto exacto adeudado a cada acreedor. Sin embargo, los usuarios son frente a un recorte del 48% en sus fondos, una pérdida que, según WazirX, se abordará gradualmente con el tiempo.
Durante el cuarto año de la empresa Ayuntamiento El 6 de noviembre, WazirX compartió detalles de su plan de pago. La bolsa planea liquidar el 52% del total de las reclamaciones de los acreedores utilizando sus activos líquidos corrientes.
Esta cantidad se distribuirá de forma prorrateada, lo que significa que los usuarios recibirán un porcentaje de lo que se les debe en función del tamaño de sus reclamaciones.
Para abordar el 48% restante de los pasivos que no se pueden pagar de inmediato, WazirX emitirá tokens de recuperación a los acreedores. Cada token representará $1 y actuará como marcador de posición para los fondos pendientes.
Estos tokens se pueden cobrar en el futuro, dependiendo de que WazirX reinicie con éxito sus operaciones y genere ingresos.
Para lograr esto, el intercambio ha delineado una estrategia múltiple que incluye el lanzamiento de nuevas iniciativas comerciales y el aumento de la actividad comercial.
El director ejecutivo de WazirX, Nischal Shetty, también ha insinuado planes para lanzar un intercambio descentralizado, que cree que podría convertirse en el más grande de la India dentro de un año.
Además del DEX, WazirX pretende reanudar las operaciones en su plataforma centralizada, apostando por un aumento en los volúmenes de operaciones durante el actual mercado alcista para impulsar los ingresos.
Arrestos, acusaciones y preguntas sin respuesta
En octubre, el Tribunal Superior de Delhi escuchó una petición presentada por el inversionista Jaivir Bains, alegando que WazirX fusionó fondos de cuentas pirateadas y no pirateadas para mitigar las pérdidas, un enfoque que supuestamente afectó a los inversores no afectados.
El abogado del peticionario argumentó que estas acciones violaban el acuerdo de usuario y los estándares regulatorios del intercambio, instando a una investigación por la Unidad de Inteligencia Financiera (UIF) y el ED.
La petición también planteó preocupaciones sobre la idoneidad de los mecanismos de supervisión, destacando que los fondos robados se habían transferido a Singapur, lo que podría complicar los esfuerzos de recuperación.
Si bien reconoció la gravedad de las acusaciones, el tribunal señaló una falta de evidencia prima facie para determinar si el ataque fue orquestado externamente o fue un encubrimiento autoinfligido.
El tribunal concluyó que quejas como la fusión de fondos y las restricciones a los retiros eran asuntos civiles más adecuados para ser resueltos en los tribunales civiles. Sin embargo, ordenó al subcomisionado de policía que investigara la denuncia e involucrara a las autoridades reguladoras en caso de que surgieran nuevas pruebas.
Añadiendo un nuevo giro al drama que se estaba desarrollando, la célula especial de la policía de Delhi arrestó recientemente a SK Masud Alam, residente de Bengala Occidental, en relación con el ciberataque.
Según el pliego de cargos, Alam supuestamente creó una cuenta falsa con el alias “Souvik Mondal” y la vendió en Telegram a otro individuo, M. Hasan, quien supuestamente la usó para violar los sistemas de WazirX.
La petición también afirma que las autoridades estatales, incluida la UIF, no han actuado con decisión, posiblemente debido a interferencias burocráticas. Con millones de dólares en juego y la confianza colgando de un hilo, el caso WazirX se vuelve más complejo con cada momento que pasa.
Un sistema que le falla a su gente
El caso del hackeo de WazirX sigue estando envuelto en ambigüedad. Ya sea que se haya tratado de un sofisticado ataque externo o de un trabajo interno disfrazado de tal, la verdad aún no ha salido a la luz.
Sin embargo, el incidente no sólo expuso las vulnerabilidades de las plataformas criptográficas, sino que también puso de relieve las insuficiencias de los sistemas regulatorios y legales de la India para gestionar este tipo de crisis de forma eficaz.
Desde el hackeo de julio de 2024, millones de usuarios han quedado en apuros y muchos de ellos se enfrentan a la ruina financiera. Las redes sociales ahora están llenas de historias desgarradoras de inversionistas que luchan con la pérdida de los ahorros de toda su vida.
Han surgido informes de víctimas que han recurrido a medidas extremas, incluido endeudarse gravemente para cubrir sus pérdidas, vender activos personales como casas y vehículos y, en casos trágicos, incluso contemplar el suicidio.
Casi cinco meses después del ataque, los organismos reguladores y de aplicación de la ley de la India han tardado en actuar. La UIF y el ED, encargados del cumplimiento financiero y la investigación del lavado de dinero, se han mantenido en gran medida al margen.
Mientras tanto, el foco del caso se ha desplazado al extranjero. Mientras el programa de reestructuración de WazirX está siendo revisado por el Tribunal Superior de Singapur, se están tomando decisiones críticas sobre los pagos de los usuarios y el futuro de la plataforma fuera de la jurisdicción india.
La ironía es sorprendente: una base de usuarios predominantemente india ahora busca justicia a través de un sistema legal al otro lado del mundo, mientras su propio gobierno se queda atrás.
Determinar si el ataque fue una infracción externa o un trabajo interno puede llevar meses, o incluso años. Por ahora, la angustia de los usuarios sirve como un aleccionador recordatorio de las consecuencias de las fallas sistémicas.
