Corea del Sur investiga al Grupo Lazarus en el hackeo de $30M a la exchange Upbit

TLDR

• Las autoridades surcoreanas sospechan que el Grupo Lazarus de Corea del Norte orquestó el hackeo de Upbit del 27 de noviembre que robó 30,4 millones de dólares en activos cripto.
• Upbit suspendió los depósitos y retiros después de detectar retiros no autorizados de tokens Solana desde su hot wallet, marcando la segunda brecha importante del exchange en seis años.
• El hackeo de 2025 utilizó tácticas similares a la brecha de Upbit por Lazarus en 2019, involucrando credenciales de administrador comprometidas o suplantadas en lugar de ataques directos al servidor.
• El hackeo ocurrió el mismo día que Dunamu, la empresa matriz de Upbit, anunció una fusión con el gigante tecnológico Naver, lo que generó especulaciones sobre el momento elegido.
• Los datos de blockchain muestran que los fondos robados fueron intercambiados por USDC y transferidos a Ethereum utilizando técnicas de mezcla comunes en las operaciones de Lazarus.

Las autoridades surcoreanas están investigando al Grupo Lazarus como la probable fuente detrás de un hackeo de 30,4 millones de dólares en Upbit, el mayor exchange de criptomonedas del país. La brecha ocurrió el 27 de noviembre cuando el exchange detectó actividad inusual de retiros en tokens basados en Solana.

Upbit suspendió inmediatamente todos los servicios de depósito y retiro después de identificar las transacciones no autorizadas. El exchange inicialmente reportó pérdidas de 54 mil millones de wones coreanos, o aproximadamente 36,8 millones de dólares, pero luego revisó esta cifra a la baja a 44,5 mil millones de wones, o 30,4 millones de dólares.

Esto marca la segunda brecha importante de hot wallet para Upbit en seis años. El exchange sufrió previamente un hackeo en noviembre de 2019 cuando los atacantes robaron 342.000 ETH.

La policía surcoreana concluyó el año pasado que Lazarus fue responsable de ese robo de 2019. Las similitudes entre los dos ataques han generado sospechas sobre la última brecha.

Los Métodos de Ataque Reflejan la Brecha de 2019

Según funcionarios gubernamentales citados por la Agencia de Noticias Yonhap, los hackers probablemente comprometieron cuentas de administrador o suplantaron a administradores para autorizar las transferencias. Este enfoque refleja las tácticas utilizadas en el ataque de 2019, en lugar de atacar directamente los servidores del exchange.

Las autoridades surcoreanas están preparando una inspección in situ de Upbit basada en la creciente confianza de que Lazarus orquestó el robo. Los expertos en seguridad señalaron que Corea del Norte enfrenta escasez continua de divisas extranjeras, proporcionando un posible motivo para el ataque.

El proveedor de análisis de blockchain Dethective rastreó los fondos robados después de la brecha. Los datos muestran que una wallet vinculada al hacker intercambió tokens Solana por USDC y comenzó a transferir fondos a Ethereum.

Los atacantes utilizaron técnicas de mezcla para lavar los activos robados. Estos métodos son tácticas conocidas empleadas por el Grupo Lazarus en robos cripto anteriores.

El Momento Genera Preguntas

El hackeo ocurrió el mismo día que Naver Financial confirmó una fusión con Dunamu, la empresa matriz de Upbit. Naver Financial anunció el 27 de noviembre que integraría a Dunamu como su subsidiaria de propiedad total.

La empresa declaró que la fusión tiene como objetivo asegurar el impulso de crecimiento futuro basado en activos digitales. El momento del hackeo junto con este importante anuncio corporativo ha alimentado especulaciones sobre si fue deliberado.

Un experto en seguridad le dijo a Yonhap que los hackers a menudo buscan mostrar sus capacidades. El experto sugirió que los atacantes podrían haber elegido específicamente el 27 de noviembre para coincidir con el anuncio de la fusión.

El Grupo Lazarus ha sido vinculado a numerosos robos cripto de alto perfil a lo largo de los años. El grupo opera bajo la dirección de Corea del Norte y ha atacado exchanges en todo el mundo para generar ingresos para el régimen.

Upbit no ha proporcionado detalles adicionales sobre la brecha o su investigación. El exchange continúa trabajando con las autoridades para rastrear los fondos robados y prevenir pérdidas adicionales.

La publicación Corea del Sur investiga al Grupo Lazarus en el hackeo de 30 millones de dólares al exchange Upbit apareció primero en CoinCentral.