Los investigadores de criptomonedas están levantando alarmas después de que se drenaran $3.2 millones de múltiples billeteras de Solana el 16 de mayo de 2025, lo que dicen que lleva las características del Grupo Lazarus vinculado a Corea del Norte. Los activos robados fueron rápidamente vendidos en la cadena y transferidos a Ethereum antes de que parte de ellos fuera lavada a través de Tornado Cash.
El 16 de mayo, las direcciones de Solana de la víctima fueron vaciadas de tokens, y los activos fueron luego convertidos a Ethereum a través de un puente antes de que parte de ellos fuera depositada en Tornado Cash.
El investigador de blockchain ZachXBT señaló públicamente la explotación, estableciendo paralelismos con actividades anteriores de Lazarus.
Los hackers transferieron los fondos robados a través de un puente
Los investigadores de blockchain levantaron la alarma por primera vez después de observar grandes transferencias de la dirección “C4WY…e525” en Solana.
Estas transacciones, vinculadas al notorio Grupo Lazarus, involucraron mover los tokens robados a través de un puente y convertirlos en Ethereum. ZachXBT señaló el ataque al monitorear la actividad del puente y rastrear fondos que finalmente terminaron en una red de billeteras en Ethereum.
El 25 de junio y nuevamente el 27 de junio, se enviaron 400 ETH a Tornado Cash en dos depósitos separados. Esas transacciones de 800 ETH, que totalizan aproximadamente $1.6 millones, se alinean con las tácticas de lavado bien documentadas del Grupo Lazarus.
Tras hackeos de alto perfil como Bybit, donde se robaron $1.5 mil millones en febrero de 2025, y $100 millones del puente Horizon de Harmony en 2022, entre otros hackeos notables, Lazarus ha utilizado repetidamente Tornado Cash, junto con intercambios descentralizados y puentes entre cadenas, para lavar fondos al oscurecer las huellas de las transacciones.
Aproximadamente $1.25 millones aún residen en una dirección de billetera identificada como “0xa5…d528” en Ethereum, mantenida en una combinación de DAI y ETH. Los analistas especulan que estos fondos pueden estar aparcados para un futuro lavado o ser mantenidos intencionalmente inactivos para mitigar el riesgo de detección.
El Grupo Lazarus ha estado activo desde 2017
El Grupo Lazarus ha ganado una reputación como la organización de ciberdelincuencia vinculada al estado más prolífica, con sanciones de Corea del Norte que los designan como una Amenaza Persistente Avanzada vinculada a las unidades de inteligencia militar de élite de Pyongyang. A lo largo de los años, han robado miles de millones en cripto desde 2017.
Su modus operandi a menudo comienza con phishing o infiltración basada en malware de personal clave, aprovechando fallos en contratos inteligentes o vulnerabilidades de billeteras. Una vez que se obtienen fondos, se convierten rápidamente en activos líquidos, se dividen en múltiples billeteras y se lavan a través de cadenas utilizando mezcladores como Tornado Cash y servicios que ofrecen intercambios instantáneos sin requisitos de Conozca a Su Cliente (KYC).
Tornado Cash sigue siendo central en la estrategia de lavado de Lazarus. Aunque se impusieron sanciones en EE. UU. en 2022, el alojamiento descentralizado y la inmutabilidad han permitido que el servicio evite el cierre permanente. En enero de 2025, un tribunal de apelaciones de EE. UU. revocó esas sanciones, citando consideraciones de libertad de expresión, a pesar de la creciente evidencia que vincula a Lazarus con el uso continuo del mezclador.
Los reguladores y los intercambios pueden ahora tomar medidas para marcar las direcciones señaladas como sospechosas. Sin embargo, con la velocidad y complejidad de la tubería de lavado de Lazarus, los servicios de mezcla siguen siendo suficientes para ocultar el movimiento de sus fondos robados.
Tu noticia de cripto merece atención - KEY Difference Wire te coloca en más de 250 sitios principales
