Las autoridades surcoreanas investigan si el grupo de hackers norcoreano Lazarus orquestó una brecha de 36 millones de dólares en la mayor casa de cambio de criptomonedas del país, con un ataque que se produjo exactamente seis años después del anterior gran incidente de seguridad de la plataforma atribuido a los mismos actores patrocinados por el Estado.
Upbit suspendió depósitos y retiros el jueves tras detectar transferencias no autorizadas de aproximadamente 44.500 millones de wones (36 millones de dólares) en activos basados en Solana desde un monedero caliente hacia direcciones externas desconocidas.
La brecha se produjo a las 4:42 a. m., hora local, del 27 de noviembre, lo que activó de inmediato protocolos de emergencia y un congelamiento de toda la plataforma sobre todos los servicios de transacción.
Fuentes gubernamentales y de la industria dijeron a la agencia Yonhap que los investigadores que analizan los flujos de monederos y los vectores de intrusión ahora sospechan que los atacantes o bien comprometieron una cuenta de administrador o lograron hacerse pasar por un operador interno; tácticas que reflejan de cerca el incidente de 2019, cuando se robaron 342.000 ETH valorados en 50 millones de dólares en un ataque vinculado posteriormente a Lazarus y al grupo norcoreano relacionado Andariel.
Qué ocurrió
La brecha afectó a más de 20 tokens del ecosistema Solana, incluidos SOL, USDC, BONK, Jupiter, Raydium, Render, Orca y Pyth Network. Dunamu, que opera Upbit, confirmó los retiros no autorizados y prometió el reembolso completo a los clientes utilizando las reservas operativas de la casa de cambio. La empresa informó que mantenía 67.000 millones de wones en reservas para hacks o fallos de sistema a septiembre, según la ley surcoreana de protección de usuarios de cripto.
"Hemos identificado la cantidad exacta de activos digitales que se filtraron y cubriremos totalmente la pérdida con los propios activos de Upbit para que los clientes no se vean afectados de ninguna manera", declaró Oh Kyung-seok, CEO de Dunamu, en un comunicado. La casa de cambio movió los activos restantes a almacenamiento en frío para impedir retiros adicionales mientras los equipos forenses investigaban.
Upbit congeló aproximadamente 2.300 millones de wones (1,6 millones de dólares) en tokens Solayer mediante medidas on-chain y está coordinando con los emisores de los tokens para congelar activos rastreables adicionales. Empresas de análisis forense en blockchain identificaron transferencias rápidas a través de múltiples monederos y actividad de mezclado coherente con patrones previos de lavado de Lazarus, según funcionarios de seguridad.
"En lugar de atacar el servidor, es posible que los hackers hayan comprometido cuentas de administradores o se hayan hecho pasar por administradores para realizar la transferencia", dijo a Yonhap un funcionario del gobierno. El enfoque apunta a manipulación dirigida de cuentas más que a un ataque directo a la infraestructura de Upbit, reforzando las comparaciones con operaciones anteriores de Lazarus.
Reguladores del Ministerio de Ciencia y TIC, la Comisión de Servicios Financieros y otros organismos de supervisión han iniciado inspecciones presenciales de los sistemas de Upbit, centrándose en la gestión de claves de monederos calientes y la seguridad de la red interna. La casa de cambio afirmó que está llevando a cabo una revisión exhaustiva de todo su sistema de depósitos y retiros de activos digitales y reanudará los servicios de forma secuencial una vez que se confirme la seguridad.
La firma de seguridad blockchain CertiK observó que la velocidad y escala de los retiros se asemejaban a ataques anteriores relacionados con Lazarus, aunque aún no cuenta con pruebas definitivas on-chain. La empresa siguió los flujos de fondos de más de 100 direcciones explotadoras en Solana y continúa monitorizando el movimiento para rastrear conexiones con redes de lavado vinculadas a Lazarus.
El momento del ataque ha alimentado las especulaciones sobre los motivos de los hackers. La brecha se produjo el mismo día en que Naver Financial, filial del gigante coreano de internet Naver, anunció un acuerdo de intercambio de acciones por 10.300 millones de dólares para adquirir la totalidad del capital de Dunamu. La fusión convertiría a Dunamu en una filial de propiedad absoluta y representaría una de las transiciones corporativas más importantes en el cripto surcoreano.
"Los hackers suelen tener un fuerte deseo de presumir", dijo un experto en seguridad a Yonhap, sugiriendo que los atacantes podrían haber elegido deliberadamente el 27 de noviembre para maximizar la atención durante el anuncio de la fusión de alto perfil. La fecha también marcó el sexto aniversario del hack de Upbit en 2019, exactamente el día.
También lee: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Por qué es importante
La brecha de Upbit representa el último episodio en lo que se ha convertido en un año récord para incidentes de seguridad en criptomonedas. Las pérdidas por hacks y exploits superaron los 2.400 millones de dólares en 2025, con el masivo hack de 1.500 millones de dólares a la casa de cambio Bybit en febrero dominando el total. El ataque a Bybit, el mayor de la historia cripto, también se atribuyó al Grupo Lazarus de Corea del Norte.
Según la firma de seguridad blockchain CertiK, la primera mitad de 2025 registró 2.470 millones de dólares en pérdidas por hacks, estafas y exploits, lo que supone un aumento de casi el 3 % frente a los 2.400 millones robados en todo 2024. El compromiso de monederos surgió como el vector de ataque más costoso, con más de 1.700 millones de dólares robados en 34 incidentes. Los ataques de phishing representaron el mayor número de incidentes de seguridad, con 132 brechas y 410 millones de dólares sustraídos.
El Grupo Lazarus ha empleado repetidamente una variedad de tácticas, pasando de intrusiones en casas de cambio a ataques a la cadena de suministro y compromisos de entornos de desarrolladores. El grupo ha desplegado clústeres de malware a medida, cebos de ingeniería social e infraestructuras masivas de lavado, canalizando criptomonedas robadas a través de mezcladores y puentes entre distintas cadenas. Expertos en seguridad señalan que Corea del Norte, enfrentada a escasez de divisas, utiliza criptomonedas robadas para financiar actividades del régimen.
En el ataque a Upbit de 2019, los investigadores concluyeron que más de la mitad del ETH robado se lavó mediante cuentas en casas de cambio creadas con identidades falsas, usando métodos típicos de Lazarus, incluido el salto de monederos y técnicas de mezcla. El grupo ha atacado anteriormente plataformas cripto para maximizar el impacto y la exposición, lo que sugiere que los ataques pueden estar organizados deliberadamente para explotar momentos de máxima atención pública.
"Es su enfoque estándar dispersar tokens a través de múltiples redes para romper el rastreo", dijo un funcionario de seguridad. El proveedor de análisis de blockchain Dethective informó de que los monederos vinculados al presunto hacker ya han comenzado a mover fondos, lo que indica que el proceso de lavado ha comenzado.
La brecha en Upbit también pone de relieve vulnerabilidades persistentes en la infraestructura de monederos calientes, que permanece conectada por motivos operativos. Aunque los monederos fríos que almacenan la mayoría de los activos de la casa de cambio permanecieron seguros, los monederos calientes, que gestionan la operativa de trading y los retiros, siguen siendo objetivos atractivos para atacantes sofisticados. Incluso plataformas consolidadas que han pasado por numerosas auditorías de seguridad no se han librado, y el hack de 128 millones de dólares al protocolo Balancer en noviembre demuestra la amplitud del panorama de amenazas.
La capacidad de Upbit para reembolsar totalmente a los clientes con reservas operativas aporta cierto alivio, pero el incidente supone un golpe financiero directo significativo para la casa de cambio y Dunamu mientras navega su integración con Naver Financial. La fusión se había presentado como un movimiento estratégico para invertir 10 billones de wones en cinco años en el desarrollo de infraestructura tecnológica de IA y Web3 en Corea del Sur. El hack pocas horas después del anuncio de la adquisición crea un telón de fondo incómodo para la nueva entidad combinada.
Las autoridades siguen rastreando los activos robados mediante análisis de blockchain mientras realizan revisiones forenses de la infraestructura de seguridad de Upbit. La casa de cambio no ha proporcionado un calendario para reanudar los servicios de depósito y retiro, aunque las auditorías de seguridad tras incidentes de esta magnitud suelen requerir varios días o más, dependiendo de los hallazgos.
Lee a continuación: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users