Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 159Compromiso de clave privada

Robo de hot wallet de Stake.com

Stake.com perdió $41M de hot wallets en Ethereum, BSC y Polygon en 90 minutos; el FBI atribuyó formalmente el robo a Lazarus y listó 40 direcciones.

Fecha
Víctima
Stake.com
Cadena(s)
EthereumBNB ChainPolygon
Estado
Fondos robados
Atribución
Lazarus Group / APT38 (DPRK)

El 4 de septiembre de 2023, el casino de criptomonedas Stake.com sufrió una serie de retiradas no autorizadas de hot wallets que totalizaron aproximadamente $41,35 millones en tres cadenas en una ventana de 90 minutos. El FBI atribuyó públicamente la operación a Lazarus Group / APT38 en un plazo de 72 horas y listó las 40 direcciones controladas por los atacantes en su comunicado de prensa.

Qué ocurrió

Las pérdidas de Stake provinieron de hot wallets en Ethereum ($15,7M, mayormente USDT, ETH, USDC, DAI), BNB Chain ($17,8M) y Polygon (~$7,8M). La primera transacción fue una transferencia de $3,9M en USDT; el resto siguió en un barrido coreografiado para extraer valor antes de que se pudieran pausar las retiradas.

El vector de compromiso exacto fue disputado. El cofundador de Stake Edward Craven declaró que el ataque apuntó a "un servicio que la empresa usa para autorizar transacciones", implicando que la brecha estaba en un sistema de autorización de firmas más que en un robo directo de claves privadas. El encuadre del FBI se inclinó hacia el compromiso de claves privadas. El patrón on-chain — mismo operador en múltiples cadenas, retiradas simultáneas coordinadas — es consistente con cualquiera de las dos lecturas.

Consecuencias

  • Stake.com pausó brevemente las operaciones de hot wallet y absorbió la pérdida desde reservas corporativas.
  • El FBI nombró públicamente las 40 direcciones del atacante — una atribución inusualmente granular que dio a los equipos de compliance de toda la industria una lista de objetivos a congelar en cuestión de días tras el incidente.
  • Los fondos fueron blanqueados a través de puentes cross-chain y mezcladores, parcialmente combinados con ganancias de otras operaciones de Lazarus (notablemente Atomic Wallet y CoinEx en el mismo periodo).

Por qué importa

Stake.com fue el primer incidente en el que la atribución del FBI incluyó direcciones on-chain específicas en lugar de solo un actor de amenaza nombrado. La combinación de atribución operacional y transparencia on-chain significó que cualquier exchange o protocolo DeFi que recibiera fondos de esas direcciones sabía exactamente con quién estaba tratando, en tiempo real — acelerando la estandarización del cribado de direcciones sancionadas como un control AML regulado más que como una mejor práctica voluntaria.

Fuentes y evidencia on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-identifies-lazarus-group-cyber-actors-as-responsible-for-theft-of-41-million-from-stakecom
  2. [02]coindesk.comhttps://www.coindesk.com/policy/2023/09/07/north-koreas-lazarus-hackers-stoke-41-million-from-crypto-gambling-site-fbi-says
  3. [03]trmlabs.comhttps://www.trmlabs.com/resources/blog/fbi-confirms-that-north-korea-was-behind-41-million-stake-com-exploit

Registros relacionados