Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 152Compromiso de clave privada

Compromiso de clave de desplegador en Steadefi

Drenaron $1,14M de Steadefi en Arbitrum y Avalanche tras un compromiso de la clave privada del desplegador que permitió al atacante apoderarse de las bóvedas.

Fecha
Víctima
Steadefi
Cadena(s)
ArbitrumAvalanche
Estado
Fondos robados
Atribución
Suspected Lazarus Group (DPRK)

El 7 de agosto de 2023, el protocolo de rendimiento apalancado Steadefi perdió aproximadamente $1,14 millones en Arbitrum y Avalanche tras que su clave privada de desplegador fuera comprometida. El atacante transfirió la propiedad del contrato a sí mismo y drenó el colateral de las bóvedas apalancadas del protocolo. Las TTPs fueron consistentes con operaciones del Lazarus Group contra desarrolladores DeFi en el mismo periodo.

Qué ocurrió

Steadefi ejecutaba bóvedas automatizadas de rendimiento apalancado. Los contratos del protocolo estaban controlados por una clave de desplegador con autoridad de propietario/admin.

El compromiso no fue un bug de contrato inteligente — la lógica de las bóvedas de Steadefi funcionaba como estaba diseñada. El atacante:

  1. Obtuvo la clave privada del desplegador — vector no detallado públicamente, pero consistente con el patrón de malware en endpoints / ingeniería social que Lazarus estaba ejecutando contra desarrolladores DeFi a lo largo de 2023 (Atomic Wallet, Stake.com y otros en la misma ventana).
  2. Transfirió la propiedad del contrato a una dirección controlada por el atacante usando la función legítima de transferencia de propiedad.
  3. Con la propiedad, drenó el colateral y las posiciones prestadas de las bóvedas apalancadas en ambas cadenas.
  4. Total extraído: aproximadamente $1,14M, blanqueados a través de Tornado Cash.

Consecuencias

  • Steadefi pausó operaciones y divulgó el compromiso de la clave del desplegador.
  • El protocolo efectivamente cerró; la pérdida fue pequeña en términos absolutos pero terminal para un protocolo del tamaño de Steadefi.
  • El patrón de blanqueo del atacante coincidió con operaciones DeFi concurrentes de Lazarus.

Por qué importa

Steadefi es una entrada de bajo monto pero estructuralmente limpia en el tema más grande del catálogo: las claves únicas de desplegador/admin son el modelo de seguridad real, independientemente de la calidad del contrato, y son un objetivo primario de Lazarus.

La misma causa raíz — compromiso de clave de desplegador/admin, usualmente vía malware en endpoint o ingeniería social a un desarrollador — recorre:

  • EasyFi (2021, $81M) — bóveda MetaMask del CEO robada del portátil.
  • bZx noviembre 2021 ($55M) — phishing → macro de Word → claves.
  • Steadefi (2023, $1,14M) — compromiso de clave de desplegador.
  • Radiant Capital (2024, $53M) — malware en Telegram → engaño de UI multi-firma.
  • Bybit (2025, $1,46B) — compromiso de cadena de suministro del desarrollador de Safe{Wallet}.

Los montos en dólares abarcan cuatro órdenes de magnitud; la causa raíz es idéntica. La forma más barata, más confiable y más repetida de drenar un protocolo cripto no es romper sus contratos — es comprometer al humano que tiene sus claves. Steadefi es uno de los puntos de datos más pequeños en esa línea, pero está exactamente en la misma línea que los incidentes de mil millones, y la respuesta defensiva es la misma a cada escala: firma exclusivamente con hardware wallet, multi-firma con firmantes independientes distribuidos geográficamente, operaciones de admin con timelock, y la suposición de que la máquina de cualquier titular individual de clave ya está comprometida.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-steadefi-hack-august-2023
  2. [02]coinedition.comhttps://coinedition.com/defi-protocol-steadefi-exploited-for-over-1-1-million/
  3. [03]rekt.newshttps://rekt.news/steadefi-rekt

Registros relacionados