🔐 Qué pasó en Upbit — resumen del incidente
El 27 de noviembre de 2025, Upbit detectó una salida no autorizada (“una transferencia anómala”) desde una de sus billeteras calientes de la red Solana.
La cantidad sustraída asciende a 44.5 mil millones de wones surcoreanos, equivalentes a aproximadamente US$ 30–31 millones.
Inmediatamente, Upbit suspendió depósitos y retiros para prevenir más salidas y comenzó una investigación interna.
Según su reporte, la pérdida para la empresa (fondos propios) fue de unos 5.9 mil millones de wones (~US$ 4 millones); el resto correspondía a fondos de usuarios, los cuales Upbit dijo que “reembolsará íntegramente” con sus reservas.
Además, informaron que parte de los fondos robados — unos 2.3 mil millones de wones — fueron ya congelados mediante rastreo on-chain.
🕵️ Sospechas sobre el Lazarus Group
Las autoridades surcoreanas han señalado que la forma del ataque — salida de tokens Solana desde hot-wallet, patrón similar al hackeo de 2019 — coincide con las tácticas que anteriormente se atribuyeron al Lazarus Group.
Por eso, se abrió una investigación para determinar si efectivamente el Lazarus Group (u otro actor vinculado a Corea del Norte) está detrás del robo.
Expertos en seguridad mencionan que las técnicas empleadas — posible compromiso de credenciales administrativas, lavado de fondos mediante “mixing” o bridging de activos — coinciden con modus operandi previos de Lazarus.
El hack ocurre justo el día en que su casa matriz, Dunamu, anunciaba una fusión con la gigante tecnológica surcoreana Naver — lo cual ha generado especulaciones sobre si el momento fue intencional.
✅ Qué hizo Upbit tras el hackeo
Congeló depósitos/retiros para contener movimientos.
Prometió reembolsar a los usuarios afectados usando sus propias reservas.
Inició una auditoría de seguridad, revisando sus billeteras y fortaleciendo controles de acceso.
Tracker de blockchain ha logrado congelar parte de los fondos robados — lo que sugiere que los atacantes no han logrado lavar todo aún.
⚠️ Qué no se conoce aún — incertidumbres
No hay confirmación pública de que Lazarus ya haya sido identificado formalmente como autor; está bajo sospecha/investigación. Las autoridades sólo han dicho que “es un candidato probable”.
No se han revelado detalles técnicos: no se sabe con certeza cómo obtuvo acceso a la wallet caliente — si fue compromiso de credenciales, phishing, vulnerabilidad interna, error humano u otro vector.
No se sabe si todos los fondos robados podrán ser recuperados o congelados — parte ya está bloqueada, pero el resto podría moverse rápidamente.
El impacto real sobre usuarios e inversores — reputación, confianza en exchanges, auditorías de seguridad — dependerá de cómo evolucione la investigación, posibles regulaciones adicionales, y medidas adoptadas por Upbit e industria.
🌍 Qué implicaciones tiene para el ecosistema cripto
Escucha una alarma de seguridad: Si un exchange grande como Upbit — considerado relativamente serio — puede ser hackeado, cualquier otro exchange (grande o pequeño) podría estar en riesgo, lo que pone en evidencia la vulnerabilidad sistémica del sector cripto.
Refuerza la narrativa de riesgo en exchanges centralizados — lo que puede impulsar el uso de custodia propia ( self-custody / wallets privadas ), especialmente entre usuarios conscientes del riesgo.
Incrementa la presión regulatoria y de compliance: gobiernos y reguladores podrían usar este incidente como argumento para imponer requisitos más estrictos a exchanges: auditorías, seguridad, custodia de usuarios, licencias, etc.
Volatilidad en tokens y mercado cripto: noticias de hackeos suelen generar miedo — por lo que podría haber caída en precios, especialmente de activos vinculados a la plataforma (solana, tokens listados en Upbit, etc.), al menos en el corto plazo.
Mayor escrutinio de actores vinculados a ciberdelincuencia estatal / patrocinada: en este caso, si se confirma Lazarus, se reafirma que hay actores estatales que usan cripto para evadir sanciones o financiar actividades ilícitas — lo que impacta reputación global del ecosistema.
🧾 Lo que conviene observar en los próximos días
Si las autoridades logran rastrear / congelar gran parte de los fondos robados — eso puede dar confianza de nuevo.
Cómo responde Upbit: auditorías, refuerzo de seguridad, transparencia pública — será clave para confiar de nuevo.
Si hay regulaciones nuevas (en Corea del Sur u otros países) que afecten exchanges tras este incidente.
Reacción del mercado cripto general — especialmente de tokens de Solana
