Puntos clave de la noticia:
-
Un ataque a Upbit drenó $30 millones en activos de Solana y replicó patrones atribuidos al grupo norcoreano Lazarus, según autoridades coreanas.
-
El exchange confirmó que un conjunto de credenciales administrativas fue comprometido y que los atacantes ejecutaron retiros, convirtieron los fondos en USDC y los movieron a Ethereum.
-
Las autoridades comparan el caso con el hack de 2019 y sostienen que la operación usó suplantación interna; Upbit continúa el análisis y coopera con los investigadores.
Upbit investiga un ataque que drenó $30 millones en activos de Solana y que reproduce patrones atribuidos al grupo norcoreano Lazarus.
La empresa confirmó que un conjunto de credenciales administrativas fue comprometido y que los atacantes ejecutaron retiros anómalos antes de convertir los tokens robados en USDC y moverlos a Ethereum mediante un puente. El incidente ocurrió un día después de que Naver Financial anunciara la adquisición total de Dunamu, la compañía matriz del exchange, lo que derivó en una discusión sobre la seguridad operativa del mayor mercado cripto de Corea del Sur.
¿Fue Upbit Nuevamente Víctima de Lazarus?
Las autoridades preparan una inspección presencial y sostienen que la mecánica del ataque coincide con la empleada en 2019, cuando Upbit perdió 342,000 ETH en un evento que la policía atribuyó a Lazarus tras meses de análisis. En ambos casos, los investigadores ven un uso sistemático de ingeniería social para acceder a privilegios internos, autorizar transacciones y ocultar movimientos en múltiples cadenas mediante swaps rápidos y puentes. La hipótesis gubernamental apunta a una operación basada en suplantación de administradores o toma de control de cuentas internas, no a una intrusión directa en la infraestructura del servidor.
Dunamu Cubrirá Todas las Pérdidas
Dunamu informó que cubrirá la totalidad de los 44.5 mil millones de won sustraídos y mantendrá el proceso de revisión abierta para determinar la ruta exacta del ataque. La empresa congeló los depósitos y retiros durante la fase inicial de contención y redujo el alcance de la pérdida tras una primera estimación más alta. Datos on-chain muestran que los atacantes liquidaron inmediatamente los activos de Solana, un patrón alineado con prácticas de blanqueo atribuidas a Lazarus. Los aalistas locales señalan que Corea del Norte intensificó este tipo de operaciones ante la escasez de divisas y la necesidad de financiar actividades estatales.
El momento del ataque fogonea otras interpretaciones. Algunos especialistas creen que los hackers eligieron actuar tras el anuncio del acuerdo entre Naver Financial y Dunamu para maximizar la exposición pública y dificultar la respuesta inicial del exchange. Otros sostienen que el grupo tiende a exhibir su presencia mediante operaciones que combinan velocidad, volumen y señales reconocibles en la cadena. Las autoridades consideran que la elección del día no fue casual y que busca reforzar esa línea de comunicación implícita.
Upbit sigue trabajando en su análisis interno y colabora con agencias de seguridad para mapear los movimientos posteriores al drenaje.
