La Exchange de Cripto de Taiwán BitoPro fue objetivo de Hacker norcoreanos

El 2 de junio de 2025, una breve publicación del investigador de blockchain ZachXBT en Telegram causó revuelo en la industria de los Cripto Activos: múltiples billeteras calientes en el intercambio taiwanés de Cripto Activos BitoPro experimentaron salidas sospechosas de fondos, totalizando hasta 11.5 millones USD.

En este momento, han pasado casi 3 semanas desde que ocurrió el ataque real, y el intercambio solo ha suspendido los servicios citando “mantenimiento del sistema”, sin mencionar una palabra sobre el ataque de Hacker.

Cronología de eventos, desde el ataque encubierto hasta la divulgación pública

El ataque ocurrió entre el 8 y el 9 de mayo de 2025. En ese momento, el Hacker aprovechó el período de ventana para las actualizaciones del sistema de billeteras y las migraciones de activos en el intercambio para lanzar un asalto a su antigua billetera caliente.

Varios cadenas públicas han sido afectadas: Tron, Ethereum, Solana y Polygon Los activos de la billetera caliente en el intercambio fueron transferidos gradualmente. Después de que el Hacker tuvo éxito, actuaron rápidamente, liquidando los fondos al precio de mercado a través de intercambios descentralizados (DEX) y transfiriéndolos al mezclador Tornado Cash, o a través de Thorchain Depositar en el Bitcoin red a través de cross-chain en la billetera Wasabi, intentando cortar la ruta de seguimiento de los fondos.

A pesar de que los usuarios informaron problemas de retiro, la declaración oficial de BitoPro confirmando el ataque llegó el 2 de junio, después de que ZachXBT lo expusiera públicamente, afirmando que “los activos de los usuarios están intactos y la plataforma tiene reservas suficientes.”

El método de manejo, que estuvo oculto durante tres semanas, ha suscitado fuertes dudas dentro de la comunidad sobre su transparencia y capacidades de gestión de crisis.

Análisis de Técnicas de Ataque: Una Intrusión Clásica de Ingeniería Social

El 19 de junio, BitoPro publicó un informe de una empresa de seguridad de terceros que confirmaba que el atacante era la notoria organización Hacker norcoreana Lazarus Group.

El camino de ataque demuestra claramente su modus operandi altamente especializado:

• Ataque de phishing de ingeniería social: Los hackers disfrazan la comunicación para dirigirse a los empleados de BitoPro, atrayéndolos a hacer clic en enlaces o archivos maliciosos.
• Infiltración de malware: El malware implantado con éxito evadió los sistemas antivirus del intercambio, la protección de endpoints y la detección de seguridad en la nube.
• Observación de infiltración: Los hackers acechan en las computadoras de los empleados de la víctima durante mucho tiempo, observando los procesos operativos, especialmente apuntando al personal de negocios en la nube que controla la gestión de recursos de Amazon AWS.
• Secuestro de tokens y eludir MFA: robo de tokens de sesión de AWS y elusión directa de los mecanismos de autenticación multifactor (MFA).
• Controla el host de la billetera caliente: Conéctate al servidor C2 del atacante, inyecta instrucciones maliciosas en el host responsable de las transacciones de la billetera caliente y, en última instancia, simula transacciones legítimas para implementar la transferencia a la 1 AM del 9 de mayo.

Este método es altamente consistente con los ataques pasados de Lazarus al sistema SWIFT de bancos globales y a varios intercambios, destacando la madurez de su plantilla de ataque.

La Mano Oculta: La Sombra del Grupo Lazarus

El Grupo Lazarus no es un delincuente habitual. La organización es ampliamente considerada como un grupo delictivo de red apoyado por el régimen norcoreano, que desde hace tiempo tiene como objetivo robar Cripto Activos para financiar sus programas de armamento.

Su historial criminal es impactante:

• En 2016, intentó robar 1 mil millones de dólares del banco central de Bangladesh utilizando una vulnerabilidad en el sistema SWIFT (finalmente transfirió exitosamente 81 millones de dólares)
• En febrero de 2025, el intercambio ByBit fue atacado, resultando en un robo récord de 1.5 mil millones de dólares en Cripto Activos.
• Continuamente atacando la cadena de suministro de intercambio de Cripto Activos global, explotaciones de vulnerabilidades y fraudes complejos de ingeniería social.

Los expertos en seguridad señalan que la organización destaca en combinar vulnerabilidades técnicas con debilidades humanas, y el incidente de BitoPro vuelve a confirmarlo.

La respuesta del intercambio, medidas para reparar el daño después de que se pierden las ovejas

Después de que se expuso el incidente, BitoPro tomó una serie de medidas de respuesta a la crisis:

• Apague inmediatamente el sistema de billetera caliente para cortar el camino del ataque.
• Reemplace todas las claves de encriptación relevantes
• Aislar sistemas infectados y realizar reconstrucción ambiental
• Encargar a una empresa de seguridad blockchain de terceros que rastree los fondos robados

Para recuperar la confianza, BitoPro presentó proactivamente una nueva dirección de billetera caliente a la plataforma de análisis de datos en cadena Arkham el 19 de mayo, actualizando los datos de liquidez para la supervisión pública.

El fundador de la empresa, Zheng Guangtai, enfatizó que “los activos de los clientes no se perderán; cualquier pérdida será asumida por la plataforma,” y se comprometió a mejorar los procesos de gestión de billeteras y los niveles de monitoreo. La Comisión de Supervisión Financiera de Taiwán también ha intervenido, exigiendo a la empresa que refuerce la ciberseguridad y presente una explicación del incidente.

Perspectiva de Seguridad: El Eslabón Más Vulnerable Sigue Siendo “Humano”

El incidente de BitoPro, aunque la cantidad perdida es mucho menor que el caso de robo masivo de $1.5 mil millones de ByBit, revela vulnerabilidades en la industria que son universales:

• Los períodos de mantenimiento se convierten en ventanas de alto riesgo: durante las actualizaciones del sistema o las migraciones de activos, los mecanismos de control de riesgos pueden tener puntos ciegos temporales.
• Las defensas técnicas son difíciles de resistir a las violaciones de ingeniería social: incluso los cortafuegos y los mecanismos de MFA más sofisticados pueden ser completamente comprometidos por un empleado que hace clic en un enlace malicioso.
• La crisis de transparencia agrava el colapso de la confianza: la divulgación retrasada y la comunicación vaga a menudo perjudican la confianza del usuario más que los eventos en sí.

“El más débil link en cualquier sistema de seguridad siempre está el factor humano,” una conclusión que se ha validado repetidamente en informes de seguridad.

Conclusión: La Evolución de la Defensa y la Batalla Ofensiva y Defensiva Sin Fin

El ataque del Grupo Lazarus es una amenaza sistémica que el ecosistema global de Cripto Activos sigue enfrentando. Desde el Banco Central de Bangladesh, ByBit hasta BitoPro, sus métodos de ataque están en constante evolución, pero el núcleo sigue siendo el mismo: explotar las debilidades humanas para vulnerar las barreras técnicas.

BitoPro incurrió en una pérdida de 11.5 millones USD y actualizó su sistema, pero el mayor desafío es: cómo la bolsa puede establecer una cultura de control interno que sea “antiingeniería social” y lograr una respuesta rápida y transparente cuando se enfrenta a una intrusión.

En el mundo de la blockchain, la confianza es la moneda subyacente, y cada incidente de hacker prueba si sus verdaderas reservas son suficientes.