Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 218Compromiso de clave privada

Drenaje de hot wallet en Phemex

~$73 M drenados de hot wallets de Phemex en 16 cadenas en un barrido coordinado — el primer gran hackeo de exchange de 2025, con TTPs consistentes con Lazarus.

Fecha
Víctima
Phemex
Cadena(s)
EthereumSolanaBitcoinBNB ChainPolygon
Estado
Fondos robados
Atribución
Suspected Lazarus Group (DPRK)

El 23 de enero de 2025 a las 11:30 UTC, el exchange con sede en Singapur Phemex detectó actividad inusual de salida en sus hot wallets. Para cuando las billeteras fueron drenadas, aproximadamente $73 millones se habían movido a través de dieciséis blockchains distintas — convirtiéndolo en el primer gran incidente de exchange de 2025 y un anticipo del año por venir.

Qué ocurrió

El vector exacto de compromiso nunca se reveló públicamente, pero el patrón on-chain era inconfundible: el atacante tenía autoridad de firma simultánea sobre hot wallets en al menos 16 cadenas, incluyendo Ethereum, Solana, Bitcoin, Ripple, BNB Chain, Polygon, Avalanche y Optimism — y la usó en un barrido coordinado y con presión de tiempo antes de que pudieran pausarse los retiros.

Desglose de pérdidas por cadena (seleccionado):

  • Solana: ~$17 M
  • Ripple (XRP): ~$13 M
  • Ethereum: ~$10 M
  • Bitcoin: ~$5,3 M
  • 12 otras cadenas: el resto

El patrón unificado — mismo operador en múltiples cadenas, solo hot wallets, puenteo cross-chain inmediato hacia mezcladores — coincide con los TTPs post-compromiso de TraderTraitor / Lazarus observados en DMM Bitcoin y posteriormente en Bybit. Phemex no atribuyó públicamente, pero los analistas de seguridad notaron la semejanza.

Consecuencias

  • Phemex pausó depósitos y retiros en horas y repuso los saldos de clientes desde sus propias reservas.
  • Todos los servicios de retiro fueron restaurados para febrero de 2025.
  • Los fondos fueron blanqueados a través de puentes cross-chain; ninguno ha sido recuperado públicamente.

Por qué importa

Phemex demostró que el compromiso de un único punto en un sistema de gestión de claves privadas puede comprometer docenas de cadenas a la vez. Muchos exchanges históricamente almacenaban claves de hot wallet para diferentes cadenas en la misma bóveda por conveniencia operativa; este incidente empujó a varios competidores a partición HSM por cadena y límites de velocidad de retiro con auto-suspensión como higiene básica de hot wallet.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-phemex-hack-january-2025
  2. [02]phemex.comhttps://phemex.com/announcements/phemex-hot-wallet-security-incident-update-and-timeline
  3. [03]crypto.newshttps://crypto.news/hackers-steal-70m-from-phemex-in-2025s-largest-attack-so-far/

Registros relacionados