Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 141Compromiso de clave privada

Compromiso masivo de Atomic Wallet

Una operación de Lazarus apuntó al software de Atomic Wallet, no a semillas individuales, drenando $100M+ de ~5.500 usuarios y rompiendo la auto-custodia.

Fecha
Víctima
Atomic Wallet
Cadena(s)
BitcoinEthereumTronBNB Chain
Estado
Fondos robados
Atribución
Lazarus Group (DPRK)

El 3 de junio de 2023, los usuarios de la wallet auto-custodial estonia Atomic Wallet comenzaron a reportar que sus saldos habían sido drenados sin su consentimiento. En cuestión de días, la firma de analítica blockchain Elliptic confirmó pérdidas superiores a $100 millones en más de 5.500 wallets de usuarios. Fue el mayor compromiso masivo de una wallet auto-custodial hasta la fecha.

Qué ocurrió

Atomic Wallet es una wallet multi-chain no custodial. La frase semilla de cada usuario se genera y almacena localmente en su dispositivo, nunca se envía a los servidores de Atomic — al menos en principio.

El vector técnico exacto nunca fue divulgado públicamente por la propia Atomic Wallet, pero el patrón on-chain fue inequívoco: salidas simultáneas de miles de wallets de usuarios independientes, en múltiples cadenas, todas enrutadas a través del mismo conjunto de direcciones controladas por el atacante. El patrón es consistente con una de dos posibilidades:

  1. Un mecanismo de actualización de software comprometido que envió una build maliciosa a los dispositivos de los usuarios, exfiltrando frases semilla.
  2. Una vulnerabilidad en el código de generación, almacenamiento o cifrado de backups de claves de Atomic que permitió a un atacante derivar semillas en masa.

De cualquier modo, el modelo de confianza de las wallets "auto-custodiales" se rompió en la capa de aplicación — cada derivación de claves dependía de que el código de Atomic fuera seguro y no modificado.

Elliptic y otras firmas atribuyeron la operación al Grupo Lazarus basándose en los patrones de blanqueo y el uso de puentes cross-chain seguidos de depósitos a mezcladores que coincidían con operaciones norcoreanas previas.

Consecuencias

  • Atomic Wallet reconoció el incidente pero inicialmente afirmó que "menos del 0,1% de los usuarios" estaban afectados — una cifra que no sobrevivió al contacto con los datos on-chain.
  • Se presentó una demanda colectiva contra Atomic Wallet y su propietario en 2023; los usuarios afectados argumentaron que la empresa había tergiversado su postura de seguridad.
  • Los fondos robados fueron blanqueados a través de Sinbad, Tornado Cash y varias rutas cross-chain.
  • Sin recuperaciones públicas.

Por qué importa

Atomic Wallet rompió la suposición de que auto-custodial significa automáticamente seguro frente a compromiso masivo. Si miles de usuarios ejecutan el mismo software de wallet, ese software es un objetivo centralizado — y un compromiso de la cadena de suministro del software (pipeline de build, servidor de actualizaciones, clave de firma) puede equivaler a un compromiso de cada usuario al que sirve. La lección se repite en el ataque a la cadena de suministro de Bybit dos años después, a escala mucho mayor.

Fuentes y evidencia on-chain

  1. [01]elliptic.cohttps://www.elliptic.co/blog/analysis/north-korea-linked-atomic-wallet-heist-tops-100-million
  2. [02]decrypt.cohttps://decrypt.co/144444/north-korean-hackers-pocket-over-100-m-in-atomic-wallet-heist
  3. [03]classaction.orghttps://www.classaction.org/news/class-action-filed-over-2023-atomic-wallet-data-breach-in-which-100m-in-crypto-assets-was-stolen

Registros relacionados