El mayor exchange de criptomonedas de Corea del Sur, Upbit, sufrió supuestamente un hackeo el 27 de noviembre, que resultó en la retirada no autorizada de 44,5 mil millones de KRW, valorados en más de 30 millones de dólares, según informó la agencia de noticias Yonhap, citada por Reuters.
El principal sospechoso detrás del incidente sería un grupo de hackers afiliados a la agencia de inteligencia de Corea del Norte, el Lazarus Group.
El 28 de noviembre, el CEO de Dunamu, empresa matriz de Upbit, publicó una declaración oficial sobre el incidente, en la que reveló lo ocurrido, las medidas tomadas por Upbit y las acciones preventivas.
El CEO de Dunamu publica una declaración oficial
Oh Kyung-seok, CEO de Dunamu, emitió una declaración oficial sobre el incidente el 28 de noviembre, compartida en el sitio web oficial de Upbit.
Pidió disculpas por las preocupaciones causadas a los miembros debido al incidente de intrusión cibernética.
Los puntos clave de su declaración incluyen:
- El incidente se produjo por una gestión de seguridad insuficiente en Upbit.
- Upbit, un exchange que prioriza la protección del usuario, promete que ningún activo de los miembros sufrirá pérdidas.
- El exchange de criptomonedas informó del ataque a las autoridades, y actualmente hay una investigación en curso para analizar la causa y el alcance de los daños.
¿Qué ocurrió durante el incidente?
El CEO de Dunamu declaró que el 27 de noviembre Upbit detectó retiradas anómalas desde la wallet basada en Solana, y el exchange realizó una inspección exhaustiva de las redes y sistemas de wallet relacionados.
Durante la investigación, Upbit descubrió y solucionó una vulnerabilidad de seguridad que podía permitir a los atacantes inferir claves privadas analizando múltiples transacciones de wallet.
Según la evaluación del exchange:
- El valor total de los activos comprometidos es de 44,5 mil millones de KRW (valorados en más de 30 millones de dólares).
- Los activos de los miembros afectados ascienden aproximadamente a 38,6 mil millones de KRW (más de 26 millones de dólares).
- Upbit logró congelar aproximadamente 2,3 mil millones de KRW (más de 1,5 millones de dólares).
- Las pérdidas de la empresa ascienden a unos 5,9 mil millones de KRW (más de 4 millones de dólares).
Acciones de Upbit tras el incidente
Las acciones de Upbit tras el incidente incluyen lo siguiente:
- Upbit suspendió supuestamente todos los depósitos y retiradas de criptomonedas.
- El exchange está rastreando y congelando las criptomonedas transferidas fuera de Upbit.
- Upbit también habría cubierto todas las pérdidas de los miembros con fondos propios.
- El exchange está renovando sus sistemas de wallet y reanudará los depósitos y retiradas de criptomonedas cuando se confirme la estabilidad.
- Upbit activó un sistema de respuesta de emergencia a nivel corporativo, revisando todos los aspectos de la infraestructura de seguridad relacionada con el hackeo.
- El exchange reforzará las medidas de seguridad y mejorará todos sus sistemas.
Como destacó el CEO de Dunamu, el exchange de criptomonedas Upbit ha trabajado diligentemente para proteger los activos de los miembros, pero este incidente recordó al equipo que ningún sistema de seguridad es perfecto; no obstante, se reforzará el marco de seguridad para prevenir futuros incidentes.
Upbit actualizará a la comunidad cuando surjan nuevos detalles.
Las autoridades de Corea del Sur llevan a cabo una investigación en curso
Los últimos informes de Yonhap revelaron que, según la industria TIC y las autoridades gubernamentales locales, se está llevando a cabo una investigación.
La publicación informó de que, más que un ataque de gran envergadura, es posible que los hackers robaran una cuenta de administrador o se hicieran pasar por un administrador para autorizar transferencias de fondos.
Lazarus Group: el principal sospechoso
Los resultados finales de la investigación aún están pendientes, pero la industria de la ciberseguridad cree que el Lazarus Group está detrás del incidente, considerando el modus operandi implicado en el hackeo:
- Los activos fueron transferidos a la wallet de otro exchange.
- Los activos transferidos fueron posteriormente mezclados (blanqueados).
Un experto en ciberseguridad, citado por la publicación, afirmó que dicho modus operandi es característico de Lazarus y que, una vez que se realiza la mezcla, las transacciones se vuelven imposibles de rastrear. El experto destacó que los países que forman parte del GAFI (Grupo de Acción Financiera Internacional) prohíben las operaciones de mezcla, y que este es otro indicio de que Corea del Norte es responsable del hackeo.
Corea del Sur es miembro pleno del GAFI desde 2009.
Además, el incidente tuvo lugar el 27 de noviembre, el mismo día que una rueda de prensa sobre la fusión entre Naver Financial y Dunamu (la empresa matriz de Upbit). Esto refuerza las sospechas de la implicación de Lazarus, ya que los hackers suelen tener un “fuerte deseo de presumir”, según el experto en seguridad citado por Yonhap.

