Una operación de phishing comprometió la cuenta de X de Ye Chen, fundador de Scroll, y la utilizó para atacar a figuras de la industria de las criptomonedas. Los atacantes tomaron control de la cuenta y la aprovecharon como un canal de comunicación confiable para distribuir mensajes maliciosos. El incidente se centró en tácticas de suplantación diseñadas para explotar los mecanismos de confianza interna de la plataforma. La actividad fue identificada y públicamente señalada, generando advertencias para ignorar las comunicaciones provenientes de la cuenta comprometida.
Los atacantes se hicieron pasar por empleados de la plataforma X y contactaron a los destinatarios con reclamos de violaciones de derechos de autor. Estos mensajes amenazaban con restricciones en las cuentas a menos que los destinatarios hicieran clic en los enlaces proporcionados dentro de un plazo de 48 horas. Para reforzar la credibilidad, los atacantes modificaron la biografía del perfil de Ye Chen para hacer referencia a Twitter y nCino, además de inundar el feed de la cuenta con reposts de cuentas verificadas de X. Esta combinación de cambios en el perfil y contenido republicado se usó para crear la apariencia de legitimidad.
Tras estos pasos preparatorios, los atacantes enviaron mensajes directos que parecían provenir del equipo de gestión de derechos de X. Los mensajes contenían advertencias falsas de cumplimiento y solicitudes urgentes que dirigían a los destinatarios hacia enlaces maliciosos. La operación de phishing dependió completamente de estos enlaces para comprometer a las víctimas, en lugar de explotar vulnerabilidades en la plataforma X misma. Posteriormente se identificó la toma de control de la cuenta, y se instó a la comunidad a ignorar todos los mensajes provenientes de la cuenta afectada.
El incidente se informó como parte de un patrón más amplio de ataques de ingeniería social dirigidos a cuentas relacionadas con criptomonedas. Incidentes similares han afectado cuentas vinculadas a BNB Chain, el WeChat de Yi He, ZKsync, Matter Labs y Watcher.Guru. En estos casos, los atacantes utilizaron técnicas comparables para difundir afirmaciones falsas, promover programas fraudulentos o distribuir enlaces de phishing. El enfoque repetido en cuentas de alta visibilidad destaca la continua intención de explotar identidades confiables dentro del ecosistema cripto.
Las tácticas reportadas en estos incidentes incluyen el abuso del acceso delegado a cuentas, el registro de dominios expirados y métodos capaces de evadir la autenticación de dos factores. En un caso, los atacantes usaron una cuenta de WeChat comprometida para promover una moneda meme llamada MUBARA, creando wallets poco antes de la violación y luego vendiendo tokens acumulados. En otro, se publicaron falsas afirmaciones sobre una investigación de la SEC y un airdrop falso, lo que contribuyó a una caída reportada a corto plazo en el precio de un token. Bots automatizados también se usaron en incidentes separados para difundir falsas afirmaciones de asociación.
Reportes adicionales han vinculado métodos similares de ingeniería social a compromisos fuera de plataformas de redes sociales. Ejemplos incluyen cuentas de editores secuestradas utilizadas para distribuir actualizaciones de software malicioso a través de canales confiables. Estos ataques se basaron en la confianza establecida de cuentas existentes en lugar de nueva infraestructura. Al menos dos casos confirmados involucraron malware diseñado para robar criptomonedas mediante dichos mecanismos de actualización.
Las estadísticas de delincuencia más amplias proporcionan contexto sobre la magnitud de estas amenazas. En 2025 se reportaron pérdidas por más de 3.4 mil millones de dólares, con una parte significativa de las compromisos de servicios atribuida a operaciones vinculadas a estados. Las pérdidas acumuladas atribuidas a estos grupos han alcanzado varios miles de millones de dólares a lo largo del tiempo. Los compromisos de carteras personales también aumentaron sustancialmente, impulsados en parte por el envenenamiento de direcciones y filtraciones de claves privadas, incluyendo un incidente único con una pérdida de 50 millones de dólares.
