El 14 de agosto de 2025, el exchange turco BtcTurk sufrió su segundo gran hackeo de hot wallet en 14 meses, perdiendo aproximadamente 48 millones de dólares en siete cadenas — Ethereum, Avalanche, Arbitrum, Base, Optimism, Mantle y Polygon. El exchange había perdido previamente $55M en junio de 2024 bajo circunstancias similares. Los activos de clientes en almacenamiento en frío permanecieron intactos en ambos incidentes.
Qué ocurrió
La brecha de 2025 reflejaba el patrón de 2024: salidas coordinadas y simultáneas de las hot wallets de BtcTurk en múltiples cadenas, identificadas por el sistema de detección de anomalías de Cyvers antes de la propia divulgación de BtcTurk. El exchange pausó depósitos y retiradas en cuestión de horas.
BtcTurk no detalló públicamente el vector específico de compromiso para el incidente de 2025. El patrón on-chain — barrido coordinado multi-chain, conversión cross-chain inmediata vía agregadores, enrutamiento inmediato a Tornado Cash — es consistente con un compromiso de clave privada de un sistema centralizado de firma en lugar de un bug de contrato inteligente o un ataque de cadena de suministro.
La naturaleza repetida del incidente — mismo exchange, mismos TTPs, magnitud de pérdida similar, separados por 14 meses — sugiere fuertemente que la misma debilidad operativa no había sido completamente remediada tras el primer hackeo. Los analistas de la industria notaron que la brecha coincidía con operaciones estilo Lazarus pero no se emitió atribución formal.
Los activos robados incluyeron ETH, AVAX, ARB, BASE, OP, MANTLE, MATIC — principalmente tokens de long-tail elegidos específicamente para superar cualquier coordinación de freeze por emisor de token.
Consecuencias
- BtcTurk pausó depósitos y retiradas y anunció reembolso completo a clientes desde reservas corporativas.
- El exchange enfatizó que la mayoría de los activos permanecieron en almacenamiento en frío — la pérdida se contuvo a un porcentaje relativamente pequeño del total de tenencias.
- Sin recuperación pública desde las wallets del atacante; los fondos fueron blanqueados a través de Tornado Cash y rutas estándar de mezclado.
Por qué importa
Las dos brechas de BtcTurk en 14 meses ilustran un patrón recurrente en la seguridad de exchanges: un primer compromiso exitoso a menudo señala una debilidad estructural explotable que un equipo defensor subestima cuán a fondo debe abordar.
El playbook post-incidente entre junio de 2024 y agosto de 2025 incluyó rotaciones de claves, auditorías de infraestructura y (según las declaraciones públicas de BtcTurk) endurecimiento de controles de hot wallet. Lo que realmente se hizo fue incompleto, insuficiente o centrado en la capa equivocada — porque la misma clase de ataque tuvo éxito de nuevo a escala similar.
La lección general para la seguridad de exchanges en 2025:
- Una primera brecha de hot wallet debería disparar una revisión externa por una firma independiente, no solo endurecimiento interno. Los equipos internos a menudo pasan por alto el problema sistémico que permitió la primera brecha.
- Los compromisos repetidos destruyen la confianza del cliente incluso si los reembolsos se pagan completos. BtcTurk permaneció operativo después de ambos incidentes, pero su posición competitiva en el mercado turco se erosionó medibles entre incidentes.
- Los actores de amenaza alineados con estados vuelven a los objetivos blandos. Lazarus y grupos similares mantienen listas de objetivos; una operación exitosa contra un exchange aumenta la probabilidad de una operación de seguimiento, no la disminuye.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-btcturk-hack-august-2025
- [02]decrypt.cohttps://decrypt.co/335251/hacked-again-turkish-exchange-btcturk-suspends-withdrawals-50m-moved
- [03]coindesk.comhttps://www.coindesk.com/business/2025/08/14/turkish-crypto-exchange-btcturk-witnesses-usd48m-of-suspicious-outflows-amid-hack-fears