En mayo de 2024, la casa de cambio de criptomonedas japonesa DMM sufrió un importante incidente de pérdida de activos, atribuido a una organización de hackers relacionada con Corea del Norte. Este evento revela vulnerabilidades potenciales en la gestión del sistema interno y en la verificación de seguridad de la casa de cambio japonesa, lo que ha llevado a una amplia atención de la industria hacia la gestión de billeteras y la seguridad de las transacciones.

(La casa de cambio japonesa DMM fue robada de 4,503 bitcoins, con pérdidas de 48.2 mil millones de yenes)

La policía japonesa investiga: fraude por reclutamiento falso, los hackers se infiltran hábilmente en el sistema

Recientemente, la policía japonesa reveló que los hackers se hicieron pasar por una actividad de reclutamiento para engañar a un técnico de la empresa de desarrollo de tecnología de bitcoins subcontratada de DMM. Bajo el pretexto de una prueba técnica, lograron inducir al técnico a descargar un programa malicioso. Este programa se utilizó posteriormente para infiltrarse en el sistema de transacciones de DMM, alterando las instrucciones de transacción legítimas, lo que finalmente llevó a una gran cantidad de activos criptográficos a ser transferidos a la billetera de los atacantes.

(FBI revela: Corea del Norte está agresivamente atacando la industria de criptomonedas, el ingeniería social apunta a empleados de empresas del sector)

¿Dónde están las vulnerabilidades del sistema de DMM?

Este incidente ha centrado la atención en la gestión de billeteras frías y en los procesos de auditoría de transacciones de DMM. Según los análisis correspondientes, DMM, como administrador final de los activos, posee las claves privadas necesarias para transferir los activos. Sin embargo, el incidente mostró que los atacantes, al alterar las direcciones de transacción, pudieron haber explotado una vulnerabilidad de comunicación entre el dispositivo de gestión y los terminales de billetera fría. La clave del ataque de alteración de direcciones de transacción radica en que las direcciones generadas por los atacantes son similares en formato a las direcciones legítimas, lo que llevó a los empleados responsables de la auditoría de transacciones a no detectar anomalías.

El papel del subcontratista Ginco: ¿sistema subcontratado o riesgo potencial?

El incidente de DMM también implicó a la empresa subcontratada Ginco, que proporciona el sistema de billetera. Ginco es principalmente responsable de la gestión de direcciones y la generación de transacciones, pero su sistema interno podría convertirse en un punto de entrada para los atacantes. Algunos análisis sugieren que los hackers pudieron haber implantado datos de transacciones alterados a través del dispositivo de gestión de Ginco, y luego realizar la firma final a través de los terminales de billetera fría de DMM. Si DMM hubiera comparado cuidadosamente el contenido de las transacciones antes y después de la firma, podría haber detectado anomalías, pero en realidad este proceso fue descuidado.

¡La estrategia de los hackers norcoreanos + las posibles debilidades de DMM los rompieron!

Este ataque se considera una acción cuidadosamente planeada por hackers norcoreanos. Aunque las casas de cambio suelen realizar transferencias de activos de manera regular para asegurar la seguridad, DMM expuso vulnerabilidades operativas del sistema durante el proceso de transferencia, convirtiéndose en el principal objetivo de los atacantes. Los expertos apuntan que los atacantes podrían haber elegido un momento predecible y operativo, aprovechando los hábitos operativos de DMM para llevar a cabo un ataque preciso.

Advertencia para la industria de criptomonedas: la defensa interna y externa son igualmente imprescindibles

Los comentarios sugieren que este incidente es una grave advertencia para toda la industria de criptomonedas. Incluso si el entorno de billeteras frías se considera la forma más segura de gestión de activos, los atacantes aún pueden llevar a cabo ataques a través de sistemas de gestión subcontratados o vulnerabilidades en auditorías internas. Por lo tanto, la industria debe reforzar la verificación de seguridad en cada paso, desde la generación de transacciones hasta la firma final, y adherirse al principio de "No confíes, verifica".

Respecto a este incidente, los expertos sugieren que las casas de cambio deben fortalecer la capacitación de los empleados y la educación sobre conciencia de seguridad, así como adoptar métodos de verificación múltiple para realizar auditorías graduales de las transacciones. Además, fortalecer la gestión y supervisión de las empresas colaboradoras subcontratadas es una medida esencial. Para otras casas de cambio que utilizan el sistema de Ginco, es particularmente importante realizar una revisión de vulnerabilidades y adoptar medidas de defensa temporales.

Este artículo sobre el robo de bitcoins en la casa de cambio japonesa DMM revela: hackers norcoreanos involucrados, problemas en la operación interna y en el subcontratista Ginco. Publicado originalmente en Chain News ABMedia.