Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 160Compromiso de clave privada

Drenaje de hot wallet de CoinEx

Lazarus drenó $54M de hot wallets de CoinEx en Ethereum, Tron, BSC y otras 7 cadenas, reutilizando infraestructura del golpe a Stake.com previo.

Fecha
Víctima
CoinEx
Cadena(s)
EthereumTronBNB ChainBitcoinSolanaPolygon
Estado
Fondos robados
Atribución
Lazarus Group (DPRK)

El 12 de septiembre de 2023 — ocho días después del robo a Stake.com — el exchange con sede en Hong Kong CoinEx detectó salidas no autorizadas de sus hot wallets. Pérdidas totales: ~54 millones de dólares en al menos diez blockchains. El análisis on-chain de ZachXBT vinculó las rutas de blanqueo al mismo operador que Stake, con ambos incidentes posteriormente atribuidos al Grupo Lazarus.

Qué ocurrió

Las claves privadas de CoinEx para múltiples hot wallets en múltiples cadenas fueron expuestas — el vector exacto no se divulgó públicamente, pero el patrón on-chain es la misma firma de Lazarus vista en las operaciones de DMM Bitcoin, Phemex y Stake.com: retiradas coordinadas simultáneas en múltiples cadenas, puenteo cross-chain inmediato a mezcladores, y consolidación a través de un conjunto conocido de direcciones de blanqueo.

Desglose de la pérdida por SlowMist:

  • ~$18M en ETH
  • ~$11M en TRX
  • ~$6M en BNB
  • ~$6M en XRP
  • ~$5,9M en BTC
  • ~$2,5M en SOL
  • ~$5M entre MATIC, XDAG, KDA, BCH

El análisis de wallets de ZachXBT mostró reutilización directa de direcciones de blanqueo entre los fondos de CoinEx y Stake.com — evidencia fuerte de que el mismo operador estaba ejecutando ambas campañas en las mismas semanas.

Consecuencias

  • CoinEx pausó las retiradas en cuestión de horas y anunció compensación al 100% desde reservas corporativas.
  • Las retiradas se restauraron progresivamente en las dos semanas siguientes conforme se rotaban las claves y se reconstruía la infraestructura de hot wallets.
  • Los fondos fueron blanqueados a través de puentes cross-chain; sin recuperaciones públicas.

Por qué importa

CoinEx es un extremo de un cluster compacto de operaciones de Lazarus contra exchanges a finales del verano de 2023 — Stake.com el 4 de septiembre, CoinEx el 12 de septiembre, Mixin Network el 23 de septiembre — que colectivamente drenaron más de $295M en tres semanas. El cluster confirmó que Lazarus había transicionado de targeting principalmente de protocolos DeFi a targeting sistemático de exchanges centralizados con higiene débil de hot wallets — un patrón que se intensificó durante 2024 y culminó en el robo a Bybit dieciocho meses después.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-coinex-hack-september-2023
  2. [02]coindesk.comhttps://www.coindesk.com/tech/2023/09/13/north-korean-attackers-linked-to-54m-coinex-hack-blockchain-data-suggests
  3. [03]risky.bizhttps://risky.biz/north-korean-hackers-are-behind-coinex-hack/

Registros relacionados