Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 208Compromiso de clave privada

Compromiso de clave única en DeltaPrime

DeltaPrime perdió 6 M$ en Arbitrum tras filtrarse una clave única; el equipo usaba multi-firma en Avalanche pero no en Arbitrum. ZachXBT lo vinculó a Lazarus.

Fecha
Víctima
DeltaPrime
Cadena(s)
Arbitrum
Estado
Fondos robados
Atribución
Suspected Lazarus Group (DPRK)

El 16 de septiembre de 2024, el protocolo DeFi de préstamos multicadena DeltaPrime perdió aproximadamente 6 millones de dólares cuando un atacante comprometió la única clave privada que controlaba los contratos del protocolo en Arbitrum. El equipo operaba el mismo protocolo en Avalanche detrás de una multi-firma con segregación en almacenamiento en frío; el despliegue en Avalanche no fue tocado.

Qué ocurrió

Los despliegues de DeltaPrime en Arbitrum y Avalanche compartían la misma lógica de protocolo, pero tenían posturas operacionales de seguridad diferentes:

  • Lado Avalanche: wallet multi-firma, almacenamiento en frío de las claves de admin, ruta de firma separada.
  • Lado Arbitrum: una única clave privada con plena autoridad administrativa sobre los contratos.

El atacante —cuyo patrón de lavado fue vinculado más tarde por ZachXBT a operadores norcoreanos— obtuvo la clave única del lado de Arbitrum. El vector de compromiso no se divulgó públicamente, pero la evidencia on-chain sugería malware estándar a nivel de endpoint en la máquina de un poseedor de claves.

Con la clave en su poder, el atacante:

  1. Tomó control de las funciones administrativas privilegiadas en los contratos de DeltaPrime en Arbitrum.
  2. Drenó ~6 M$ en saldos de ARB, AVAX y stablecoins a través de rutas de retiro forzado que solo el rol de admin podía disparar.
  3. Bridgeó los ingresos fuera de Arbitrum y por rutas estándar de lavado de Lazarus.

El equipo de DeltaPrime confirmó públicamente que su arquitectura multi-firma + almacenamiento en frío del lado de Avalanche había protegido específicamente esos contratos frente al mismo atacante: una prueba A/B limpia del valor de la inversión en seguridad operativa.

Consecuencias

  • DeltaPrime pausó los contratos en Arbitrum y anunció un plan de compensación.
  • El equipo migró Arbitrum al mismo modelo de multi-firma + almacenamiento en frío ya en uso en Avalanche.
  • Un exploit separado el 11 de noviembre de 2024 drenó 4,85 M$ adicionales mediante una clase de bug distinta (lógica sin verificar en swapDebtParaSwap), afectando esta vez a ambas cadenas. DeltaPrime nunca se recuperó del todo.

Por qué importa

DeltaPrime es uno de los casos de estudio más limpios de por qué la higiene de despliegue debe viajar con el protocolo a través de las cadenas. Un protocolo multicadena que despliega en una nueva red a menudo replica el código del contrato pero no la seguridad operativa off-chain —la configuración del multi-firma de Safe, el flujo de firma con hardware wallet, los procedimientos de rotación— porque eso requiere esfuerzo humano que no se forkea tan fácil como Solidity.

El resultado, pagado con 6 M$ de fondos reales de clientes, es que la cadena con las operaciones más laxas es la superficie de ataque, y el atacante simplemente espera.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deltaprime-hack-september-2024
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2024/09/16/crypto-broker-deltaprime-drained-of-over-6m-amid-apparent-private-key-leak
  3. [03]cybersecuritynews.comhttps://cybersecuritynews.com/deltaprime-exploited/

Registros relacionados