- El sospechoso: Corea del Sur vincula el hackeo de 30,6 millones de dólares a Upbit con el grupo Lazarus de Corea del Norte.
- El momento: La brecha llegó 24 horas después de que Naver aceptara comprar la casa matriz de Upbit por 10.000 millones de dólares.
- El método: Probablemente los hackers comprometieron las claves de administrador, reflejando las tácticas de Lazarus en 2019.
Las autoridades surcoreanas han iniciado una investigación de alto nivel sobre la brecha de seguridad en Upbit, con marcadores forenses iniciales que apuntan al Grupo Lazarus patrocinado por el Estado norcoreano.
La investigación ha refinado el alcance de los daños, confirmando una pérdida de 44.500 millones de won (30,6 millones de dólares), revisada a la baja respecto a las estimaciones iniciales de 37 millones tras una valoración precisa de los activos robados de Solana.
Relacionado: Upbit confirma un hackeo de 37 millones de dólares: Exchange dice que cubrirá cada dólar perdido
La teoría del ‘Caos de las Fusiones’
Los investigadores ahora se centran en una anomalía temporal crítica: el ataque comenzó menos de 24 horas después de que el gigante tecnológico Naver Corp. anunciara un enorme intercambio de acciones de 10.300 millones de dólares para adquirir Dunamu, la empresa matriz de la bolsa.
El miércoles, Naver Financial confirmó sus planes para adquirir Dunamu como filial de propiedad total. Y para la mañana del jueves, se activaron las alarmas internas de Upbit.
Relacionado: Naver adquirirá al operador de Upbit Dunamu en un intercambio de acciones por valor de 10.300 millones de dólares
Los atacantes desviaron aproximadamente 30,6 millones de dólares en Solana (SOL) y tokens del ecosistema como Bonk y Jupiter, aprovechando la fricción operativa de la transición corporativa.
Firma forense: La clave de administrador
El vector de ataque lleva la firma distintiva de la ofensiva del Grupo Lazarus en 2019 contra Upbit (que resultó en una pérdida de 50 millones de dólares ETH). Más que un complejo exploit de contratos inteligentes, esto parece ser un «Compromiso del Administrador».
Las autoridades informaron que el último incidente mostraba similitudes con el robo de 2019 que implicó compromiso a nivel de administrador. Según un funcionario, es posible que los atacantes accedieran o se hicieran pasar por cuentas internas de administrador en lugar de vulnerar directamente la infraestructura del servidor. Esta técnica se alinea con patrones de hackeo anteriores atribuidos a Lazarus, que tiene un historial documentado de atacar plataformas de activos digitales.
Upbit identifica una salida no autorizada de Solana
Dunamu, el operador de Upbit, confirmó que 44.500 millones de won en activos digitales afiliados a Solana fueron trasladados sin autorización. Sin embargo, la bolsa declaró que planea cubrir la totalidad utilizando sus propias reservas.
Upbit informó por separado de una salida de 54.000 millones de won (casi 38 millones de dólares) a través de múltiples tokens del ecosistema Solana, incluyendo Double Zero (2Z), Official Trump (TRUMP), Bonk y Jupiter (JUP). El exchange atribuyó las transferencias a un compromiso de cartera.
Tras la detección de la salida, Upbit suspendió los depósitos y retiradas para revisar sus carteras y procedimientos de seguridad. La bolsa declaró que identificó inmediatamente la magnitud de las retiradas no autorizadas y garantizaría que no se trasladaran pérdidas a los clientes.
Contexto geopolítico: La escasez de efectivo
Los analistas señalan que Pyongyang se enfrenta a una escasez crítica de divisas. Con el endurecimiento de las sanciones internacionales, el régimen ha recurrido históricamente al robo de criptomonedas para financiar objetivos estratégicos.
La complejidad de la operación de Upbit, que mueve fondos a través de una cadena de alto rendimiento como Solana en lugar de Bitcoin, sugiere una evolución en sus capacidades de blanqueo de capitales, diseñadas para superar a las herramientas de rastreo antes de que los activos robados puedan ser congelados.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
