### Hackers norcoreanos, sospechosos del robo de 290 millones de dólares en KelpDAO, perfeccionan tácticas sobre DeFi

#### 1. Introducción

El ecosistema de las finanzas descentralizadas (DeFi) vuelve a ser protagonista de un incidente de seguridad de grandes dimensiones. El pasado sábado, el proyecto KelpDAO fue víctima de un ciberataque que resultó en el robo de aproximadamente 290 millones de dólares en criptoactivos. Las primeras investigaciones apuntan a que el grupo norcoreano Lazarus Group, conocido por sus sofisticadas campañas contra el sector financiero, está detrás de la operación. Este incidente subraya la sofisticación y el continuo perfeccionamiento de las tácticas empleadas por actores patrocinados por Estados, poniendo en jaque la resiliencia de plataformas DeFi y la seguridad de los usuarios.

#### 2. Contexto del Incidente o Vulnerabilidad

KelpDAO es una plataforma basada en Ethereum que proporciona servicios de staking líquido, permitiendo a los usuarios depositar y delegar activos para obtener rendimientos. El ataque, detectado en la madrugada del sábado, afectó a varias de sus piscinas de liquidez y contratos inteligentes. La rápida propagación del incidente y el elevado volumen de fondos comprometidos sugieren una planificación previa y una ejecución sumamente profesional.

Desde 2017, Lazarus Group ha estado vinculado a múltiples incidentes en el sector cripto, incluidos los asaltos a Ronin Bridge (más de 620 millones de dólares) y Horizon Bridge de Harmony (100 millones de dólares), consolidando un patrón de ataques dirigidos a puentes, exchanges y proyectos DeFi con escasos controles de seguridad.

#### 3. Detalles Técnicos

La vulnerabilidad explotada en KelpDAO está relacionada con una mala validación de entradas y una gestión deficiente de permisos en sus contratos inteligentes, lo que permitió la ejecución de transacciones maliciosas sin autorización adecuada. El exploit consistió en una serie de llamadas a funciones internas del contrato que, mediante una escalada de privilegios, permitieron a los atacantes drenar fondos de las piscinas afectadas.

Aunque aún no se ha asignado un CVE específico, los Indicadores de Compromiso (IoC) recopilados muestran similitud con anteriores ataques atribuidos a Lazarus, incluyendo el uso de direcciones Ethereum previamente asociadas y la implementación de técnicas de lavado de fondos a través de mixers como Tornado Cash y exchanges descentralizados (DEX).

En cuanto a TTPs (Tactics, Techniques and Procedures) alineadas con MITRE ATT&CK, los investigadores han identificado:
– **T1190 – Exploit Public-Facing Application:** Explotación de vulnerabilidad en contratos inteligentes expuestos.
– **T1071.001 – Application Layer Protocol: Web Protocols:** Uso de transacciones HTTP/S para operar con APIs de la blockchain.
– **T1566 – Phishing:** Aunque no se ha confirmado su uso en este caso concreto, Lazarus suele emplear spear phishing en fases iniciales.
– **T1486 – Data Encrypted for Impact:** Tras el ataque, los fondos fueron rápidamente mezclados y transferidos, dificultando su rastreo.

Los logs de transacciones muestran la utilización de scripts personalizados y posibles frameworks de ofensiva como Brownie y Hardhat para automatizar la explotación.

#### 4. Impacto y Riesgos

El impacto económico supera los 290 millones de dólares, situando este incidente entre los mayores robos de la historia de las DeFi. Alrededor del 60% de los fondos en staking en KelpDAO quedaron comprometidos, afectando a miles de usuarios y generando una caída del 35% en el valor del token nativo en las horas posteriores al ataque.

Desde el punto de vista operativo, el evento expone riesgos críticos inherentes al diseño de contratos inteligentes, la falta de auditorías regulares y la insuficiente monitorización de actividades anómalas. Además, la sofisticación de los atacantes eleva la presión sobre los equipos de respuesta y análisis forense.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de futuros ataques en plataformas DeFi, se recomienda:
– **Auditorías exhaustivas y continuas** de contratos inteligentes, preferiblemente realizadas por terceros independientes.
– **Implementación de mecanismos de control de acceso y validación de entradas** en todos los contratos desplegados.
– **Monitorización proactiva de transacciones y detección de patrones anómalos** mediante soluciones SIEM adaptadas a entornos blockchain.
– **Implementación de procedimientos de respuesta a incidentes** y pruebas de recuperación ante ataques de drenaje de fondos.
– **Segmentación financiera** y limitación de exposición en pools críticas para minimizar el impacto de posibles brechas.

#### 6. Opinión de Expertos

Analistas de empresas líderes en ciberseguridad, como Chainalysis y Elliptic, advierten que la sofisticación de Lazarus Group se sitúa muy por encima de la media del sector criminal, gracias a sus recursos estatales y capacidad de adaptación. Según Tom Robinson, cofundador de Elliptic, “La combinación de ingeniería social, explotación de errores de código y técnicas avanzadas de evasión convierte a Lazarus en la amenaza más significativa para el ecosistema cripto en 2024”.

#### 7. Implicaciones para Empresas y Usuarios

Las empresas gestoras de plataformas DeFi deben reforzar sus políticas de seguridad y cumplimiento, en particular ante la entrada en vigor de directivas europeas como NIS2 y la presión regulatoria en materia de protección de datos (GDPR). Para los usuarios, la diversificación de inversiones y la utilización de billeteras con mecanismos avanzados de autenticación son esenciales para mitigar el riesgo de pérdidas totales.

#### 8. Conclusiones

El ataque a KelpDAO demuestra que los actores estatales, especialmente los norcoreanos, continúan perfeccionando sus tácticas y apostando por el ecosistema DeFi como fuente principal de financiación ilícita. La mejora de los controles técnicos, la colaboración internacional y la adaptación a nuevas regulaciones serán claves para contener esta amenaza creciente.

(Fuente: www.bleepingcomputer.com)