Drenaje del pool de minería de SBI Crypto

El 24 de septiembre de 2025, la filial de minería de Bitcoin de la japonesa SBI Holdings — SBI Crypto — fue drenada por aproximadamente $24 millones a través de cinco blockchains: Bitcoin, Ethereum, Litecoin, Dogecoin y Bitcoin Cash. La brecha pasó desapercibida durante siete días hasta que el investigador on-chain ZachXBT señaló públicamente las salidas sospechosas el 1 de octubre.

Qué ocurrió

SBI Crypto operaba un pool de minería de Bitcoin, con infraestructura de billeteras asociadas que guardaba las distribuciones de recompensas de minería en múltiples cadenas. El compromiso atacó al sistema de hot wallet del pool de minería — el vector exacto nunca fue divulgado públicamente por SBI, aunque el patrón on-chain coincidía con un compromiso estándar de claves privadas de una infraestructura de firma multicadena.

Desglose de los activos robados:

• ~$17,45M en billeteras de Bitcoin (la mayor pérdida individual).
• ~$6,4M de Ethereum.
• ~$67.874 de Bitcoin Cash.
• ~$76.343 de Litecoin.
• ~$42.718 de Dogecoin.

La ruta de blanqueo — canalizada a través de cinco "exchanges instantáneos" antes de ser depositada en Tornado Cash — coincidía estrechamente con operaciones documentadas del Lazarus Group del mismo periodo. ZachXBT señaló explícitamente las similitudes con robos cripto previos alineados con el Estado norcoreano en su divulgación inicial.

Consecuencias

• SBI emitió un comunicado confirmando una "salida no autorizada" pero no proporcionó un informe técnico público del incidente ni una atribución detallada de las pérdidas.
• El retraso de 7 días en la divulgación atrajo críticas significativas de la industria — la mayoría de los principales operadores cripto japoneses publican divulgaciones de brechas en 24-48 horas según las expectativas de la FSA tras Coincheck.
• Sin recuperaciones públicas desde las billeteras del atacante.
• La atribución a Lazarus permaneció en el nivel de los analistas; SBI no la confirmó ni la negó.

Por qué importa

El incidente de SBI Crypto es un caso de estudio limpio de cómo los pools de minería se convirtieron en objetivo en el ritmo operacional de Lazarus en 2025. Campañas anteriores de Lazarus se centraron en exchanges de cara al cliente y protocolos DeFi; los pools de minería — que mantienen saldos significativos de recompensas en hot wallets de acceso rutinario — representan una superficie de ataque similar con menos atención mediática y, a menudo, peor seguridad operativa:

• Los operadores de pools de minería son organizaciones intensivas en ingeniería con prácticas de custodia que pueden no igualar el rigor de los equipos de custodia de exchanges dedicados.
• Las operaciones de recompensas de minería multicadena requieren saldos en hot wallets en cada cadena en la que opera el pool — multiplicando la superficie de ataque por cadena.
• La cadencia de pagos a los mineros crea actividad regular en las hot wallets que puede enmascarar salidas anómalas frente a una monitorización ingenua.

La respuesta defensiva es la misma que para la custodia de exchanges:

• Firma aislada por HSM por cada cadena.
• Límites de velocidad de retirada por billetera con suspensión automática.
• Monitorización on-chain independiente por servicios externos (Chainalysis, Cyvers, etc.) que no dependan de la propia detección de anomalías del operador.
• Divulgación pública rápida cuando ocurren brechas, tanto para limitar las ventanas de blanqueo del atacante como para mantener la confianza del cliente.

El retraso de 7 días de SBI Crypto, en particular, es la lección recurrente en empresas fuera del perímetro de los exchanges regulados: la divulgación rápida es en sí misma una medida defensiva, por muy operacionalmente inconveniente que sea para la víctima de la brecha.