Corea del Norte ataca criptoladrones: alerta DeFi

Menos de tres semanas después de que unos hackers ligados a Corea del Norte se aventaron un golpe usando ingeniería social para chingar a la firma de trading crypto Drift, estos mismos cuates parecen haber hecho otro desmadre con Kelp.

El ataque a Kelp, un protocolo de restaking que está conectado con la infraestructura cross-chain de LayerZero, muestra que estos hackers ya no solo buscan bugs o robar credenciales, sino que andan explotando las cosas básicas en las que se basan los sistemas descentralizados.

Juntando los dos golpes, se ve que esto ya no es pura casualidad o ataques aislados, sino algo más organizado, porque Corea del Norte sigue con las pilas puestas para robar lana del mundo crypto.

“No es una serie de incidentes; es un ritmo constante”, dice Alexander Urbelis, el chavo que maneja la seguridad y asuntos legales en ENS Labs. “No puedes solo tapar hoyo tras hoyo con parches y pensar que ya…”

En poco más de dos semanas, estos hackers ya se habían llevado más de 500 millones de dólares con los exploits de Drift y Kelp.

¿Cómo le hicieron para entrarle a Kelp?

Pues aquí no se rifaron rompiendo códigos o descifrando llaves. El sistema en sí funcionó tal cual estaba diseñado. Pero los atacantes se pusieron vivos y manipularon la info que alimenta el sistema, forzándolo a aceptar transacciones que en realidad nunca pasaron.

“La falla de seguridad es simple: una mentira firmada sigue siendo mentira”, dice Urbelis. “Firmar algo solo garantiza quién lo mandó, no que sea verdadero”.

O sea, el sistema sólo revisaba quién mandó el mensaje, pero no si el mensaje estaba correcto. Para los expertos, esto no fue un hack is clever, sino más bien aprovechar cómo se armó el sistema.

“No se trató de romper criptografía,” dice David Schwed, el COO de la firma de seguridad blockchain SVRN. “Fue explotar cómo se configuró todo.”

Un detalle clave fue que Kelp usaba un solo verificador para aprobar mensajes cross-chain, porque es más rápido y fácil, pero eso quitó una capa importante de seguridad.

LayerZero ya anda recomendando usar varios verificadores independientes para aprobar transacciones, como pedir varias firmas en una transferencia bancaria. Obvio, a algunos les molestó que el setup por default de LayerZero venga con un solo verificador.

“Si identificaste que una configuración es insegura, no la pongas como opción”, dice Schwed. “La seguridad no puede depender de que todos lean manuales y la hagan bien.”

Pero el broncote no se quedó solo en Kelp. Como muchos sistemas DeFi, sus activos andan brincando por varias plataformas, lo que hace que un problema se pueda expandir.

“Estos activos son una cadena de deudas,” dice Schwed, “y la cadena solo es tan fuerte como su eslabón más débil.”

Cuando un eslabón se rompe, todos sufren. Por ejemplo, plataformas de préstamo como Aave que usaban esos activos como garantía ahora están enfrentando pérdidas, haciendo que un solo ataque se vuelva un cotorreo de problemas mayores.

¿Y la bronca con la descentralización?

Este ataque también exhibe que la manera en la que venden la descentralización, muchas veces no es la realidad.

“Un solo verificador no es descentralización, es un verificador descentralizado centralizado”, dice Schwed.

Urbelis lo explica mejor: “La descentralización no es una propiedad que un sistema tenga, sino una serie de elecciones. Y todo el sistema solo es tan fuerte como su parte más centralizada.”

O sea, aunque un sistema parezca descentralizado, puede tener puntos flacos, sobre todo en las capas menos visibles como los proveedores de datos o la infraestructura, y justo ahí es donde se están metiendo los hackers.

Eso explica por qué el grupo Lazarus, el de Corea del Norte, se está poniendo las pilas atacando infraestructuras cross-chain y de restaking, que son las que mueven lana entre sistemas o permiten usarla varias veces.

Estas capas son súper importantes pero bien complejas, muchas veces están escondidas bajo aplicaciones más visibles y cargan montones de valor, por eso son blancos de ataque.

Antes los hacks de crypto le jalaban a los exchanges o fallas obvias en el código, pero ahora todo indica que están atacando lo que podríamos llamar la plomería de la industria: los sistemas que conectan todo, que no se ven mucho y son fáciles de configurar mal.

Mientras Lazarus siga adaptándose, el peligro más grande no es alguna vulnerabilidad nueva, sino las que ya conocemos y no se han arreglado del todo.

El exploit de Kelp no inventó ninguna falla nueva, solo mostró que el ecosistema sigue bien expuesto a errores conocidos, especialmente cuando la seguridad se toma más como sugerencia que como regla.

Y mientras los atacantes se mueven más rápido, eso de dejar cabos sueltos está saliendo bien caro.

Si quieres saber más, checa esta nota: [North Korean hackers are running massive state-sponsored heists to run its economy and nuclear program].