Se sospecha que hackers vinculados al Estado norcoreano conocidos como Lazarus han robado criptomonedas de los South Korean exchange Upbit . Las autoridades surcoreanas dijeron que las retiradas no autorizadas ascendieron a unos 30 millones de dólares. La bolsa detectó la retirada un jueves y comenzó a trabajar con los reguladores para identificar la fuente de la brecha. Los investigadores que examinaron el suceso dijeron que el método utilizado en la intrusión se asemeja a un ataque anterior a Upbit en 2019.
Los hackers eliminaron activos digitales del exchange y transfirieron los fondos a través de varias carteras de criptomonedas. El rápido movimiento de los fondos robados ha dificultado la recuperación de los activos. El patrón de movimientos observado tras el robo refleja comportamientos descritos en casos anteriores vinculados a Lazarus, incluyendo transferencias rápidas entre monederos y el uso de múltiples cuentas intermedias.
Upbit informó de la intrusión poco después de identificar las transacciones no autorizadas. La empresa comenzó a revisar los controles internos de acceso y los registros de transacciones para determinar cómo entraron los atacantes. Aún no ha publicado detalles sobre el punto de entrada. El incidente suscitó preguntas sobre si los atacantes utilizaron credenciales comprometidas o aprovecharon las debilidades en los sistemas de acceso a cuentas.
Lazarus ha estado asociado con robos masivos de criptomonedas durante varios años. Incidentes pasados vinculados al grupo incluyen la pérdida de activos digitales de otros intercambios y de servicios basados en blockchain. El motivo sospechoso de estos incidentes es la adquisición de divisas extranjeras para el gobierno norcoreano, que se enfrenta a sanciones internacionales que restringen la actividad financiera.
La brecha de 2019 que involucró a Upbit provocó una pérdida de unos 40 millones de dólares. Las autoridades señalaron que la actividad observada en el último caso comparte características con ese evento anterior. Estas similitudes han contribuido a la sospecha de que el mismo grupo cometió el reciente robo.
Tras los informes públicos sobre la intrusión, el precio de las acciones de la empresa matriz de Upbit cayó. Los inversores reaccionaron ante las preocupaciones sobre posibles consecuencias regulatorias y el efecto en la confianza del cliente. Upbit afirmó que sigue reforzando las medidas internas y que está cooperando con las agencias gubernamentales durante la investigación.
Las autoridades están revisando los registros de blockchain y rastreando el movimiento de fondos para identificar las carteras implicadas. Investigaciones anteriores relacionadas con Lazarus han demostrado que el grupo distribuye con frecuencia fondos robados a través de muchas direcciones para ocultar su camino. Esta táctica puede complicar los esfuerzos para identificar dónde se almacenan finalmente los fondos.
Se recomienda a los usuarios de intercambios de criptomonedas que sean cautelosos con dónde almacenan sus activos. Mantener fondos en monederos basados en exchanges puede exponer a los usuarios a pérdidas si una plataforma se ve comprometida. Las opciones de almacenamiento en frío protegen a los usuarios que no necesitan acceso inmediato a sus activos.
La supuesta implicación de Lazarus en el robo de Upbit subraya la magnitud de las operaciones llevadas a cabo por grupos de hackers vinculados a los Estados. El robo de activos digitales sigue siendo una amenaza significativa para los mercados de criptomonedas y para los usuarios que almacenan activos en plataformas centralizadas.