Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 009Compromiso de clave privada

Compromiso del exchange KuCoin

281 M$ drenados de hot wallets de KuCoin en BTC, ETH y ERC-20: el tercer mayor hackeo de exchange, operación de Lazarus; ~84% recuperado después.

Fecha
Víctima
KuCoin
Cadena(s)
BitcoinEthereum
Estado
Recuperado
Atribución
Lazarus Group (DPRK)

El 25 de septiembre de 2020, el exchange con sede en Singapur KuCoin detectó salidas no autorizadas de sus hot wallets. Las pérdidas totales se asentaron en aproximadamente 281 millones de dólares entre BTC, ETH y docenas de tokens ERC-20: en su momento el mayor hackeo de exchange desde Coincheck.

Qué ocurrió

El CEO de KuCoin Johnny Lyu confirmó más tarde que las claves privadas que controlaban las hot wallets afectadas habían sido expuestas. El mecanismo exacto de compromiso no se divulgó públicamente, pero Chainalysis atribuyó posteriormente la operación al Lazarus Group basándose en TTP que incluían el uso de exchanges descentralizados y servicios DeFi de mezcla para lavar fondos: una evolución significativa frente a rutas de lavado anteriores de Lazarus que dependían de mezcladores centralizados.

El atacante movió los tokens robados directamente a direcciones controladas por el atacante e inmediatamente comenzó a cambiarlos en Uniswap y otros DEXs en volúmenes que distorsionaron brevemente los precios on-chain de varios ERC-20 menores.

Consecuencias

La recuperación de KuCoin fue la respuesta más exitosa a un hackeo importante de exchange registrada:

  • 222 M$ (78%) se recuperaron mediante coordinación con los emisores de tokens, que congelaron y reemitieron los suministros de tokens afectados para hacer a los holders enteros.
  • 17,4 M$ (6%) se recuperaron mediante cooperación con las fuerzas del orden y firmas de seguridad que rastrearon e incautaron fondos robados.
  • Los restantes ~41,5 M$ (~16%) fueron cubiertos por el fondo de seguros de KuCoin y reservas corporativas.

Según el propio recuento de Lyu en 2021, el 100% de los saldos de clientes fueron restaurados.

Por qué importa

KuCoin fue la primera demostración importante de que el mecanismo emisor-de-token de congelar-y-reemitir podía funcionar como herramienta de recuperación. Muchos tokens ERC-20 —en particular los que tenían claves admin— congelaron voluntariamente el suministro robado y emitieron tokens de reemplazo a KuCoin. Esto creó el manual de recuperación usado en muchos incidentes menores desde entonces, pero también se convirtió en una cuestión de gobernanza disputada: si un token puede congelarse y reemitirse, también puede ser censurado.

Fuentes y evidencia on-chain

  1. [01]chainalysis.comhttps://www.chainalysis.com/blog/lazarus-group-kucoin-exchange-hack/
  2. [02]en.wikipedia.orghttps://en.wikipedia.org/wiki/KuCoin
  3. [03]coindesk.comhttps://www.coindesk.com/markets/2020/09/26/over-280m-drained-in-kucoin-crypto-exchange-hack

Registros relacionados