El FBI ha vinculado oficialmente el devastador hackeo de DMM Bitcoin al grupo de hackers TraderTraitor de Corea del Norte, que supuestamente tiene conexiones con el infame Grupo Lazarus. En mayo, el ciberataque resultó en el robo de 4,502 Bitcoin, valorados en $308 millones, causando graves daños financieros y el eventual cierre del intercambio de criptomonedas japonés.
El ataque comenzó con tácticas sofisticadas de ingeniería social dirigidas a Ginco, una empresa japonesa de billeteras de criptomonedas. Los hackers se hicieron pasar por reclutadores en LinkedIn, enviando enlaces maliciosos disfrazados como pruebas de pre-empleo alojadas en GitHub. Un empleado de Ginco hizo clic en el enlace sin saberlo, lo que permitió a los hackers comprometer su cuenta de GitHub. Este acceso permitió a los atacantes hacerse pasar por el empleado en comunicaciones internas.
Para mayo, el grupo explotó este acceso para manipular una solicitud de transacción legítima de un empleado de DMM Bitcoin. El Bitcoin robado fue transferido rápidamente a billeteras controladas por los hackers. A pesar de los esfuerzos de DMM Bitcoin para recuperar fondos y compensar a los usuarios a través de recompras de Bitcoin, las pérdidas financieras fueron insuperables. Como resultado, el intercambio anunció su cierre permanente y planes para transferir las cuentas de los clientes a SBI VC Trade para marzo de 2025.
Esta violación se considera uno de los robos de criptomonedas más significativos de Japón, solo superado por el hackeo de Coincheck en 2018, donde se robaron $530 millones. El incidente pone de relieve la creciente amenaza que representan los grupos cibercriminales norcoreanos en el sector de criptomonedas. Solo en 2024, estos grupos han sido responsables de robar $1.34 mil millones en activos criptográficos, representando aproximadamente dos tercios de todos los robos de criptomonedas a nivel mundial.
En julio, los fondos robados fueron canalizados a través de Huione Guarantee, una empresa que opera en Camboya. Informes de Chainalysis sugieren que la firma ha estado involucrada en estafas de 'pig butchering' valoradas en aproximadamente $49 mil millones. En respuesta, Camboya inició una represión en diciembre, bloqueando el acceso a 16 intercambios de criptomonedas, incluyendo plataformas importantes como Binance, Coinbase y OKX.
Taylor Monahan, un experto en seguridad de MetaMask, enfatizó el riesgo continuo: “La gente de Crypto (esperemos) ya sabe que Lazarus es uno de los actores de amenaza más prevalentes que atacan esta industria. Ellos han afectado a más personas, empresas, protocolos que nadie más. Pero es bueno saber exactamente cómo entran. Porque otra auditoría de contrato inteligente no te salvará.”
Este ataque sirve como un recordatorio contundente de la amenaza persistente y en evolución que representan los cibercriminales norcoreanos. Su capacidad para explotar el error humano a través de la ingeniería social y técnicas de infiltración avanzadas sigue siendo un desafío serio para la industria global de criptomonedas.
