Gráfico de transacciones de ETH hacia Tornado Cash desde wallets del hack de Coinbase Commerce

El hack de Coinbase Commerce resurge: millones a Tornado Cash en 2026

By Manuel Castellano 5 meses ago

El pasado vuelve a perseguir al ecosistema cripto. Un atacante vinculado al exploit de Coinbase Commerce en abril de 2024 reactivó sus wallets en enero de 2026, moviendo más de USD $5.400.000 en ETH hacia Tornado Cash.

La maniobra, ejecutada mediante depósitos escalonados, busca borrar el rastro de los activos robados. Investigadores on-chain confirman que esta actividad está directamente ligada al hack ocurrido sobre la red Polygon, donde se drenaron fondos mediante transferencias sistemáticas de USDC.

El patrón de lavado: precisión y fragmentación

El atacante empleó una estrategia de batching para maximizar el anonimato: veinte transferencias de 100 ETH, seguidas por montos menores (10 ETH, 1 ETH y fracciones). Este método, combinado con el uso de Tornado Cash, dificulta el rastreo y sugiere una planificación meticulosa para evadir la vigilancia on-chain.

Antes de estos envíos, la misma wallet trasladó aproximadamente USD $5.800.000 en DAI a una nueva dirección, donde los fondos fueron intercambiados por Ethereum. Sin embargo, no todos los activos han sido movidos: una wallet separada aún conserva alrededor de USD $4.600.000 en DAI, lo que indica que el proceso podría continuar en fases posteriores.

Desde una perspectiva analítica, este comportamiento revela una adaptación táctica del atacante. La dormancia de casi dos años y la reactivación en un contexto de presión bajista en el mercado cripto no son casuales: el momento elegido podría buscar aprovechar la volatilidad para camuflar mejor las transacciones.

Contexto de mercado: ETH bajo presión

El resurgimiento de estas transacciones coincide con un período complejo para Ethereum. En los últimos siete días, ETH ha registrado una caída cercana al 10%, reflejando una presión vendedora significativa. Este escenario añade una capa adicional de complejidad al caso, ya que los movimientos del atacante no solo tienen implicaciones legales, sino que también se producen en un entorno de mayor sensibilidad para los precios y la liquidez.

En abril de 2024, cuando ocurrió el exploit, ETH se negociaba entre USD $3.100 y USD $3.700. Ahora, con un precio promedio de USD $2.890, el atacante podría estar buscando liquidar activos antes de que la depreciación reduzca aún más su valor. Lo que esto revela es una conexión directa entre la delincuencia cripto y las dinámicas del mercado: los hackers no solo roban, sino que también calculan el momento óptimo para mover sus fondos.

El origen: el exploit de Coinbase Commerce en 2024

Todo comenzó el 21 de abril de 2024, cuando el investigador ZachXBT alertó sobre salidas sospechosas desde un contrato de Coinbase Commerce. En solo 16 horas, se registraron más de 1.700 salidas de USDC en la red Polygon, con un valor total de USD $15.970.000. El patrón sugería que un comerciante que utilizaba la plataforma había sido comprometido, con fondos drenados de manera repetida y sistemática.

Posteriormente, los USDC robados fueron puenteados desde Polygon a la red principal de Ethereum. Allí, los activos se intercambiaron por ETH y se distribuyeron entre tres wallets distintas, fragmentando el rastro original. Este método de dispersión es una táctica clásica para complicar el seguimiento, pero también demuestra una sofisticación operativa que va más allá del simple robo.

Dormancia estratégica y señales de alerta

Tras la fase inicial de lavado en 2024, la mayoría de los fondos vinculados al exploit quedaron inactivos. Las wallets asociadas permanecieron en silencio durante meses, lo que llevó a muchos a considerar el caso como cerrado. Sin embargo, una porción menor de los activos fue canalizada a través de exchanges descentralizados y plataformas de staking, manteniendo un bajo perfil.

Investigadores detectaron que una de las direcciones de depósito mostraba una alta exposición a infraestructura conocida de drainers, un detalle que incrementa el riesgo. Los depósitos en Tornado Cash realizados en enero de 2026 marcan, por tanto, la primera actividad significativa en casi dos años, rompiendo un patrón de quietud que podría haber sido deliberado para reducir la atención.

La pregunta clave ahora es: ¿por qué reactivar los movimientos ahora? La respuesta podría estar en la combinación de factores: la presión bajista del mercado, la necesidad de liquidar activos antes de que pierdan más valor, o incluso la confianza en que el tiempo ha diluido el interés de las autoridades.

Coinbase en la mira: antecedentes de seguridad

Este caso no es un incidente aislado en el historial de Coinbase. En mayo de 2025, la empresa reveló un ciberataque separado que podría costar hasta USD $400 millones. Los atacantes obtuvieron acceso limitado a datos de clientes mediante el soborno de contratistas y empleados, utilizando la información para suplantar a Coinbase y engañar a usuarios.

Aunque la compañía aclaró que menos del 1% de sus clientes resultaron afectados y que las claves privadas no se vieron comprometidas, el incidente subraya vulnerabilidades en la cadena de custodia humana. Coinbase rechazó pagar un rescate de USD $20 millones y se comprometió a reembolsar a los usuarios afectados, pero el daño reputacional ya estaba hecho.

Lo que esto revela es un patrón preocupante: los ataques no siempre buscan vulnerabilidades técnicas, sino también humanas. En un ecosistema donde la confianza es la moneda de cambio, cada incidente erosionan la percepción de seguridad, incluso cuando los fondos están técnicamente a salvo.

¿Estamos ante una nueva era de sofisticación en los ciberataques, donde el tiempo y el mercado se convierten en cómplices silenciosos?

Implicaciones para la seguridad y la confianza en el ecosistema cripto

La reactivación de los fondos del hack de Coinbase Commerce no solo expone una estrategia de lavado sofisticada, sino que también plantea preguntas sobre la resiliencia del ecosistema ante amenazas persistentes.

Desde una perspectiva analítica, este caso demuestra cómo los atacantes no solo explotan vulnerabilidades técnicas, sino que también aprovechan dinámicas de mercado y periodos de baja atención para maximizar su impunidad. La fragmentación de los fondos en múltiples transacciones y wallets, junto con el uso de herramientas como Tornado Cash, refleja una adaptación táctica que desafía los mecanismos tradicionales de rastreo.

Lo que esto revela es una dualidad preocupante: por un lado, la capacidad de los actores malintencionados para operar con paciencia y precisión; por otro, la dependencia del ecosistema de la vigilancia on-chain y la colaboración entre plataformas para mitigar riesgos. La dormancia de casi dos años sugiere que los atacantes confían en que el tiempo reduce la probabilidad de detección, mientras que la elección de un momento de presión bajista en el mercado añade una capa de complejidad estratégica.

Además, la repetición de incidentes en Coinbase —aunque con métodos distintos— subraya que las vulnerabilidades humanas siguen siendo un eslabón débil. La confianza en las plataformas no solo depende de su robustez técnica, sino también de su capacidad para anticipar y neutralizar amenazas que evolucionan en sofisticación.

La pregunta clave

¿Cómo puede el ecosistema cripto equilibrar la innovación y la descentralización con la necesidad de mecanismos de seguridad más proactivos, capaces de anticipar no solo los ataques, sino también las estrategias de evasión de sus autores?

Referencia de contenido: aquí