¡Los hackers de Corea del Norte vuelven a la carga! La organización Lazarus roba 30,6 millones, el intercambio de Corea del Sur sufre por tercera vez.

El infame grupo de cibercriminales de Corea del Norte, Lazarus, es sospechoso de haber orquestado un importante ataque de activos cripto, lo que resultó en pérdidas de aproximadamente 30.6 millones de dólares para el intercambio de activos cripto más grande de Corea del Sur. El operador del intercambio, Dunamu, confirmó que el jueves se transfirieron activos relacionados con Solana por un valor de 44.5 mil millones de wones a una billetera no autorizada, y la compañía anunció que utilizará sus reservas para compensar a los usuarios.

La organización Lázaro de Corea del Norte sospechosa de un ataque de hackers por 30.6 millones de dólares

（fuente：X）

Según la agencia de noticias de Corea del Sur, citando a fuentes gubernamentales y de la industria, hay indicios de que este ataque podría estar relacionado con la misma organización que anteriormente fue acusada de los incidentes de invasión atribuidos a Lazarus, y las autoridades se están preparando para realizar una inspección en el intercambio. Esta organización ha estado relacionada anteriormente con actividades de robo de activos cripto, con el objetivo de generar ingresos para Pyongyang en medio de una continua escasez de divisas. Corea del Norte enfrenta severas sanciones internacionales, y los canales tradicionales de obtención de divisas son extremadamente limitados, por lo que el robo de activos cripto se ha convertido en una fuente importante de financiamiento.

El operador de la mayor plataforma de intercambio de criptomonedas de Corea del Sur, Dunamu, confirmó que el jueves se transfirieron activos relacionados con Solana por un valor de 44.5 mil millones de wones a una billetera no autorizada. La compañía anunció que utilizará su reserva de fondos para compensar totalmente a los usuarios y detuvo rápidamente los retiros y depósitos mientras iniciaba una auditoría interna. Esta rápida respuesta y el compromiso de compensación total muestran que Dunamu intenta minimizar el daño a la confianza de los usuarios tras el ataque de hackers.

Los investigadores han indicado que la técnica utilizada en este ataque es muy similar a la del incidente de 2019, cuando los atacantes supuestamente robaron Ethereum por un valor de 58 mil millones de wones de la misma plataforma. Los funcionarios creen que los hackers pudieron eludir la infraestructura crítica al hacerse pasar por un administrador o al infiltrarse en cuentas internas, autorizando retiros. Este tipo de infiltración interna es muy típico del patrón de ataque de Lazarus, lo que demuestra que la organización tiene un profundo conocimiento del sistema objetivo y una preparación de infiltración a largo plazo.

Los funcionarios de seguridad informaron que estos fondos se trasladaron rápidamente a través de Billeteras asociadas con otras plataformas, lo que indica que alguien está tratando de ocultar las huellas de la transacción utilizando métodos de lavado de dinero que Lazarus ha empleado en el pasado. Un funcionario declaró: “Esta es su táctica habitual, dispersar los tokens en múltiples redes para romper la trazabilidad.”

Patrón de ataque típico de la organización Lázaro

Infiltración a largo plazo: A través de ingeniería social o ataques a la cadena de suministro, se puede infiltrar durante meses o incluso años.

Robo de permisos internos: Suplantar a un administrador o infiltrarse en cuentas internas para obtener permisos de retiro

Transferencia Rápida: Mover rápidamente los fondos a múltiples Billetera antes de ser detectados.

Lavado de dinero entre cadenas: dispersar los tokens en múltiples redes de blockchain para romper el seguimiento

Servicio de Mezcla: Utilizar protocolos de mezcla como Tornado Cash para ocultar aún más el flujo de fondos.

Los analistas señalan que Lazarus ha atacado en varias ocasiones plataformas de activos cripto muy destacadas, con el fin de maximizar su impacto y exposición, lo que sugiere que este ataque podría haber sido planeado intencionalmente para aprovechar la gran atención del público. La noticia del ataque al mayor intercambio de criptomonedas de Corea del Sur tiene un alto valor noticioso, y esta alta exposición podría ser una forma en que Corea del Norte demuestra su capacidad cibernética a la comunidad internacional.

Dunamu se compromete a reembolsar el monto total y detener el intercambio

El operador del mayor intercambio de criptomonedas de Corea del Sur, Dunamu, confirmó que el jueves se transfirieron activos relacionados con Solana por un valor de 44,5 mil millones de wones (aproximadamente 30,6 millones de dólares) a una billetera no autorizada. La empresa indicó que utilizará sus reservas propias para reembolsar completamente a los usuarios y detuvo rápidamente los retiros y depósitos mientras iniciaba una revisión interna. Este compromiso de reembolso completo no es común en los incidentes de hackeo de intercambios de criptomonedas, lo que demuestra la solidez financiera de Dunamu y su actitud responsable hacia los usuarios.

Detener retiros y depósitos es una medida de emergencia estándar, destinada a prevenir que los atacantes transfieran más fondos o exploten vulnerabilidades del sistema. Sin embargo, esta detención también causará inconvenientes a los usuarios normales, que no podrán realizar transacciones o retirar fondos. Dunamu necesita encontrar un equilibrio entre la investigación de seguridad y la restauración de operaciones normales; un tiempo de detención demasiado prolongado podría llevar a la pérdida de usuarios hacia plataformas competidoras.

Aunque la compensación total protege los intereses de los usuarios, representa una carga financiera enorme para Dunamu. Las pérdidas de 30.6 millones de dólares, junto con los posibles costos de actualización de seguridad, multas regulatorias y daños a la reputación, pueden resultar en un costo total que supere con creces la cantidad de la pérdida directa. Esto también ha suscitado un debate sobre las reservas de seguridad y los mecanismos de seguro de los intercambios, y si un solo intercambio puede soportar el impacto financiero de este tipo de ataques a largo plazo.

Un analista de blockchain ha rastreado el flujo de los fondos robados en las redes sociales. Un atacante de identidad desconocida robó fondos de varios billeteras calientes del intercambio de cripto más grande de Corea, y después de esperar un tiempo, comenzó a transferir fondos a través de cadenas. En algún momento, el hacker transfirió USDC de una cadena a otra mediante un puente, lo que hizo que el lavado de activos cripto a través de cadenas fuera extremadamente difícil de rastrear.

La coincidencia en la adquisición de Naver genera dudas

Justo al día siguiente de que Naver anunciara su plan de adquirir Dunamu a través de su división financiera mediante un intercambio de acciones, el intercambio tuvo un incidente de incumplimiento, lo que convirtió a Naver en el centro de atención del país. Esta coincidencia temporal ha suscitado diversas especulaciones: ¿alguien está tratando de sabotear la adquisición? ¿Un miembro interno filtró información sobre una vulnerabilidad de seguridad? ¿O es simplemente una coincidencia?

Naver, como la mayor empresa de internet de Corea del Sur, originalmente consideraba su plan de adquisición de Dunamu como un hito en la fusión de la industria de encriptación con los gigantes tecnológicos tradicionales. Sin embargo, la ocurrencia de ataques cibernéticos podría afectar la valoración de la adquisición y las negociaciones de términos. Naver podría solicitar una reducción en el precio de adquisición o aumentar las cláusulas de seguridad, mientras que Dunamu necesita demostrar a Naver que puede mejorar la protección de seguridad.

Al mismo tiempo, la compañía de tecnología financiera Naver Financial, parte del gigante de internet coreano Naver, se está preparando para lanzar una billetera de stablecoin en Busan, como parte de los esfuerzos de la ciudad para construir una economía local impulsada por blockchain. Según informes, Naver ha completado el desarrollo de la billetera y actualmente está realizando las últimas revisiones, con un lanzamiento oficial previsto para el próximo mes. El proyecto es desarrollado en colaboración con la firma de capital de riesgo Hashed y el intercambio de activos digitales de Busan (BDAN).

Este plan de expansión empresarial se vuelve aún más sensible tras el ataque cibernético. Si Naver desea establecer una reputación en el ámbito de la encriptación, debe demostrar que puede ofrecer garantías de seguridad más sólidas que las del mayor intercambio de activos cripto de Corea. Este incidente podría impulsar a Naver a realizar una revisión de seguridad y pruebas de estrés más exhaustivas antes de lanzar la billetera de moneda estable.

Corea del Sur podría reanudar las medidas de sanción contra los hackers de Corea del Norte

A principios de este mes, Corea del Sur anunció que, tras las nuevas medidas de Estados Unidos para vincular las actividades de robo de Activos Cripto de Pionyang con la financiación de su programa de armas, Corea del Sur podría reconsiderar su enfoque sobre las sanciones contra Corea del Norte. La segunda viceministra de Relaciones Exteriores de Corea del Sur, Kim Ji-na, declaró que Seúl podría “reconsiderar las medidas de sanción en situaciones realmente necesarias” y enfatizó que coordinará estrechamente con Washington para hacer frente a las crecientes amenazas cibernéticas y digitales de Corea del Norte.

Jin expresó: «Si Pyongyang roba encriptación, la coordinación entre Corea del Sur y Estados Unidos es crucial, ya que estos activos cripto podrían usarse para financiar los programas nucleares y de misiles de Corea del Norte, y representar una amenaza para nuestro ecosistema digital.» Esta declaración revela la dimensión geopolítica detrás de los ataques cibernéticos de Corea del Norte, que no solo son un crimen económico, sino también una amenaza a la seguridad nacional.

Según estimaciones de las Naciones Unidas y del Departamento del Tesoro de EE. UU., el monto total de activos cripto robados por Corea del Norte a través de ataques cibernéticos ha superado miles de millones de dólares. Estos fondos se utilizan para eludir sanciones internacionales, mantener el funcionamiento del régimen y financiar programas de armas nucleares y misiles. El grupo Lazarus, como la unidad cibernética más elite de Corea del Norte, tiene como objetivos de ataque a nivel mundial, incluyendo intercambios de criptomonedas y instituciones financieras tradicionales.

Las pérdidas de 30,6 millones de dólares sufridas por el mayor intercambio de criptomonedas de Corea del Sur no son las más grandes en la historia de los ataques de hackers norcoreanos, pero el momento en que ocurre, después del anuncio del plan de adquisición de Naver, así como la similitud técnica con el incidente de 2019, complican aún más la investigación y la atribución del evento. Si el gobierno de Corea del Sur reiniciará medidas de sanción más severas y cómo la comunidad internacional fortalecerá la prevención de las amenazas cibernéticas de Corea del Norte serán los puntos clave de interés en el futuro.