Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 196Compromiso de clave privada

Colapso del exchange Lykke

$22 M (158 BTC, 2.161 ETH, más LTC/BCH) drenados de Lykke en un compromiso de claves que el exchange británico ocultó; atribuido a Lazarus.

Fecha
Víctima
Lykke
Cadena(s)
BitcoinEthereumLitecoin
Estado
Fondos robados
Atribución
Lazarus Group (DPRK)

El 4 de junio de 2024, el exchange fundado en Suiza y con sede en el Reino Unido Lykke sufrió un compromiso de claves privadas que drenó aproximadamente $22 millones en BTC, ETH, LTC y BCH. El exchange no reveló públicamente la brecha durante dos días; la noticia se conoció cuando el investigador on-chain SomaXBT publicó los movimientos de la billetera en redes sociales el 6 de junio. Lykke cerró operaciones en cuestión de meses. El Tesoro del Reino Unido atribuyó posteriormente el ataque al Lazarus Group de Corea del Norte.

Qué ocurrió

Lykke mantenía reservas de clientes en hot wallets en múltiples cadenas. El 4 de junio, un atacante obtuvo autoridad de firma sobre esas billeteras y ejecutó salidas coordinadas:

  • 158 BTC (~$11 M)
  • 2.161 ETH (~$8 M)
  • Una mezcla de LTC y BCH (~$3 M combinados)

El patrón de compromiso — drenaje simultáneo multi-cadena, sin bug de contrato inteligente, puenteo inmediato entre cadenas hacia rutas anonimizadoras — coincidía con el manual estándar de Lazarus enfocado en CEX, documentado en Atomic Wallet, Stake.com, y posteriormente Phemex y Bybit.

La característica inusual del caso Lykke fue el intento inicial de encubrimiento: el exchange no notificó a los clientes hasta el 6 de junio, dos días después de la brecha, y solo después de que investigadores on-chain hubieran identificado públicamente las salidas no autorizadas. Múltiples medios señalaron que las comunicaciones de Lykke durante el período habían sido activamente engañosas — se dijo a los usuarios que la plataforma estaba experimentando "dificultades técnicas" en lugar de un incidente de seguridad.

Consecuencias

  • Lykke detuvo el trading el 6 de junio y no reanudó las operaciones normales.
  • La compañía cerró posteriormente en 2024, liquidando efectivamente el negocio.
  • El Tesoro del Reino Unido atribuyó formalmente el ataque al Lazarus Group en una divulgación relacionada con sanciones aproximadamente un año después.
  • Sin recuperaciones públicas desde las billeteras del atacante.

Por qué importa

El incidente de Lykke ilustró dos fallos que se entrecruzan, comunes en el nivel de CEX pequeños a medianos:

  1. Higiene de hot wallet que no coincide con el perfil operativo de un adversario serio. Lazarus no elige objetivos por tamaño; los elige por facilidad de compromiso. Según informes, Lykke tenía una infraestructura de firma aislada en HSM mínima para un exchange de su tamaño, lo que lo convertía en un objetivo comparativamente blando.
  2. El fallo en la divulgación como brecha secundaria. Ocultar un incidente de seguridad a los clientes durante 48 horas — mientras los atacantes blanqueaban los fondos robados — da al atacante la máxima ventana posible para convertir el producto en formas no rastreables. La divulgación pública rápida es en sí misma una medida defensiva, tanto porque activa congelaciones coordinadas entre exchanges como porque activa la investigación forense on-chain liderada por la comunidad.

Lykke es el reflejo más pequeño del patrón más amplio de 2024-2025: un exchange mal equipado, un atacante alineado con un estado y bien financiado, una respuesta pública lenta y un cierre total final.

Fuentes y evidencia on-chain

  1. [01]dlnews.comhttps://www.dlnews.com/articles/defi/little-known-crypto-exchange-suffers-22-million-dollar-hack/
  2. [02]cryptonews.comhttps://cryptonews.com/news/british-exchange-lykke-loses-22-million-in-cyberattack/
  3. [03]ccn.comhttps://www.ccn.com/news/technology/north-korea-lazarus-lykke-crypto-heist/

Registros relacionados