Lazarus Group sospecha que hackearon Indodax por 22 millones de dólares

Indodax, un exchange de criptomonedas con sede en Indonesia, es la última víctima de un ataque y surgen especulaciones de que podría haber sido orquestado por el grupo norcoreano Lazarus.

Marcado por la plataforma de seguridad cibernética Cyvers y confirmado por otras plataformas como PeckShield y SlowMist.

El ataque tuvo como objetivo la billetera activa de Indodax y logró desviar aproximadamente 22 millones de dólares en varias criptomonedas, incluidas Bitcoin, Ether, Polygon y Tron, junto con otros tokens.

Cyvers afirma que el robo se llevó a cabo en más de 150 transacciones y que el atacante inmediatamente comenzó a intercambiar los fondos por Ether, una táctica comúnmente utilizada por los delincuentes para evitar que los activos robados sean incluidos en la lista negra.

Ethereum no admite la modificación de permisos de direcciones. Por el contrario, otros tokens ERC-20 pueden implementar una función de mapeo dentro de sus contratos inteligentes para mantener una lista negra de direcciones.

Una vez que los fondos robados se convierten en ETH, los atacantes tienden a lavar el botín a través de mezcladores de criptomonedas como Tornado Cash.

Detalles del ataque

En este caso, el robo involucró más de $1,42 millones en Bitcoin, aproximadamente $2,4 millones en tokens basados en Tron, más de $14,6 millones en varios tokens ERC-20, alrededor de $2,58 millones en POL y $900,000 adicionales en ETH de la blockchain Optimism.

Según Cyvers, el ataque se originó a partir de una filtración de la clave privada de la billetera activa, posiblemente debido a una violación en la máquina de firmas de Indodax, el dispositivo utilizado para firmar y aprobar transacciones.

Sin embargo, SlowMist estimó que el exploit fue resultado de una vulnerabilidad en el sistema de retiro del exchange que permitió al atacante desviar los fondos de las billeteras activas.

Mientras tanto, Indodax suspendió todos los servicios en su plataforma después de reconocer la violación y su sitio web también estaba inactivo al momento de la publicación.

En una publicación de X, la plataforma dijo que estaba “realizando un mantenimiento completo” y aseguró a los usuarios que sus fondos estaban seguros.

En una publicación posterior, el exchange también advirtió a los usuarios que eviten cualquier entidad que se haga pasar por Indodax y ofrezca servicios de recuperación de fondos.

Esta es una táctica de estafa común en la que los estafadores engañan a las víctimas de violaciones de seguridad para que envíen dinero, prometiéndoles falsamente ayudar a recuperar sus fondos perdidos.

Para brindarles algo de alivio a sus usuarios durante el mantenimiento en curso, la plataforma de intercambio anunció un sorteo, ofreciendo 3 millones de rupias (aproximadamente 200 dólares) cada hora a tres ganadores. Una medida que no es habitual en una situación como esta.

Sin embargo, con un saldo de reserva de 369 millones de dólares, según datos de CoinMarketCap, Indodax tiene un colchón considerable que podría utilizarse para ayudar a compensar a los inversores afectados.

Se sospecha que hay un grupo llamado Lázaro

Mientras tanto, Yosi Hammer, director de inteligencia artificial en Cyvers, ha sugerido que el ataque tiene similitudes con ataques anteriores llevados a cabo por el Grupo Lazarus de Corea del Norte, conocido por sus sofisticados robos de criptomonedas.

También se especuló que el grupo Lazarus estaba detrás del ataque del 18 de julio a la plataforma de intercambio de criptomonedas india WazirX. De manera similar, se robaron 230 millones de dólares en activos de las billeteras activas de la plataforma y se lavaron a través de Tornado Cash.

La gravedad del ataque provocó el cierre completo de la plataforma, que ahora está siguiendo un Plan de Acuerdo de Singapur.

Como informó anteriormente Invezz, el grupo de piratería respaldado por el estado de Corea del Norte ha estado involucrado en más de 25 ataques a varias cadenas de bloques desde agosto de 2020 hasta octubre de 2023.