Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 194Phishing / Ingeniería social

DMM Bitcoin

Operativos de la RPDC comprometieron a un dev del proveedor Ginco vía oferta falsa en LinkedIn, drenando 4.502,9 BTC (305 M$) del exchange DMM Bitcoin.

Fecha
Víctima
DMM Bitcoin
Cadena(s)
Bitcoin
Estado
Fondos robados
Atribución
TraderTraitor / Lazarus Group (DPRK)

El 31 de mayo de 2024, el exchange japonés de criptomonedas DMM Bitcoin perdió 4.502,9 BTC —unos 305 millones de dólares entonces— en un único retiro no autorizado. El exchange cesó operaciones más adelante ese año y transfirió las cuentas restantes a SBI VC Trade.

Qué ocurrió

La brecha no se originó en DMM. Comenzó en Ginco, el proveedor japonés de software de wallets cuyo sistema usaba DMM para autorizar retiros.

En marzo de 2024, un operativo norcoreano se hizo pasar por reclutador en LinkedIn y se acercó a un ingeniero de Ginco. Como parte del proceso falso de contratación, compartieron una "prueba de habilidades" en Python alojada en GitHub. El ingeniero ejecutó el script en una máquina personal, otorgando al atacante acceso a cookies de sesión y, a través de ellas, la capacidad de suplantar al ingeniero en los sistemas internos de Ginco.

Durante dos meses el atacante permaneció dentro de las comunicaciones no cifradas de Ginco, observando cómo se autorizaban las transacciones. A finales de mayo usaron ese acceso para manipular una solicitud de retiro legítima de DMM Bitcoin de manera que los fondos se enrutaran a wallets controladas por ellos. Los 4.502,9 BTC se movieron en una sola transacción.

Consecuencias

  • El FBI, la Agencia Nacional de Policía de Japón y el Cyber Crime Center del Departamento de Defensa de EE. UU. atribuyeron conjuntamente el robo a TraderTraitor / Lazarus en diciembre de 2024.
  • DMM Bitcoin anunció que cerraría en diciembre de 2024 y migraría las cuentas de clientes a SBI VC Trade.
  • El BTC robado fue lavado a través de puentes cross-chain y mezcladores.

Por qué importa

DMM fue el ejemplo de más alto perfil de un patrón que definió el año: operativos norcoreanos atacando a los proveedores y desarrolladores alrededor de los negocios cripto, no a los negocios mismos. El mismo manual —contacto falso por LinkedIn, "prueba de habilidades" maliciosa, robo de cookies de sesión— se repitió en Munchables, Radiant Capital y, finalmente, en Safe{Wallet} antes del robo de Bybit.

Fuentes y evidencia on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2024/12/24/north-korea-blamed-for-may-s-usd305m-hack-on-japanese-crypto-exchange-dmm
  3. [03]cryptoslate.comhttps://cryptoslate.com/fbi-reveals-north-korea-used-linkedin-to-steal-305-million-from-japans-dmm-bitcoin/

Registros relacionados