Volver al Hub

La epidemia de amenaza interna: infiltrados norcoreanos construyeron los protocolos DeFi que luego hackearon

Imagen generada por IA para: La epidemia de amenaza interna: infiltrados norcoreanos construyeron los protocolos DeFi que luego hackearon

Un nuevo y escalofriante análisis ha expuesto lo que podría ser la campaña de amenaza interna más sofisticada y prolongada en la historia de las criptomonedas. Según los hallazgos de un investigador de ciberseguridad, trabajadores de TI vinculados al régimen norcoreano han sido sistemáticamente infiltrados en equipos de desarrollo de finanzas descentralizadas (DeFi) durante hasta siete años. Su misión: no solo robar, sino construir los mismos cimientos de los protocolos que luego explotarían.

La escala de la infiltración

La operación parece haber comenzado alrededor del período conocido como "DeFi Summer" en 2020, una época de crecimiento e innovación explosivos en las finanzas descentralizadas. Desarrolladores vinculados a Corea del Norte, haciéndose pasar por trabajadores remotos legítimos de otros países asiáticos, aseguraron posiciones en numerosos equipos de desarrollo. Su profundo conocimiento técnico les permitió contribuir de manera significativa a las bases de código, ganando confianza y acceso con el tiempo. El investigador advierte que estos operativos han trabajado potencialmente en "incontables" protocolos, lo que significa que la superficie de vulnerabilidad podría ser vasta y en gran medida no cartografiada. Este no es un caso de un único proyecto comprometido; es una infección sistémica de la canalización de desarrollo del ecosistema.

De constructor a hacker: la amenaza interna definitiva

Esta estrategia representa un cambio de paradigma en las amenazas cibernéticas. En lugar de atacar un producto terminado desde el exterior, el adversario participó en su creación. Las implicaciones son profundas:

  • Puertas traseras deliberadas: El riesgo más directo es la inserción intencional de vulnerabilidades, errores lógicos o funciones ocultas dentro del código del contrato inteligente. Estos serían invisibles para las auditorías estándar si están ofuscados de manera inteligente.
  • Debilidades arquitectónicas: Incluso sin puertas traseras flagrantes, influir en el diseño o la arquitectura de un protocolo podría crear debilidades sistémicas difíciles de parchear posteriormente.
  • Ventaja de conocimiento: Los infiltrados poseen un conocimiento íntimo de la base de código, sus peculiaridades y su comportamiento previsto, lo que les da una ventaja monumental al planificar una explotación.

Este modus operandi da la vuelta al concepto de "amenaza interna". El interno no era un empleado descontento que se volvió malicioso; era un actor malicioso desde el primer día, contratado como interno.

El cálculo del estado-nación

Esta campaña está casi seguramente orquestada por el Grupo Lazarus y otras APT (Amenazas Persistentes Avanzadas) relacionadas bajo la dirección de Pyongyang. El robo de criptomonedas se ha convertido en una fuente de ingresos crítica para el régimen sancionado, financiando sus programas de armas. Este enfoque a largo plazo y paciente indica una evolución estratégica de los hackeos de golpe y fuga a un modelo más insidioso y basado en la inversión. El retorno de la inversión por colocar a un desarrollador durante años podría ser exponencialmente mayor que un ataque único, comprometiendo múltiples protocolos construidos sobre ese código base.

Implicaciones para la ciberseguridad y DeFi

La revelación obliga a un doloroso ajuste de cuentas para la industria DeFi y sus prácticas de seguridad:

  1. El fracaso del anonimato: Se explotó la cultura de pseudonimato y trabajo remoto global de la industria. Los procesos de verificación para desarrolladores remotos, especialmente de regiones de alto riesgo, han demostrado ser catastróficamente inadecuados.
  2. Los límites de las auditorías de código: Esto socava la confianza en las auditorías de seguridad posteriores al desarrollo. Si la vulnerabilidad está tejida en la lógica central por su autor, puede evadir la detección incluso de empresas reputadas. Puede ser necesario un nuevo enfoque en la "auditoría de procedencia": rastrear el origen y la historia de cada línea de código.
  3. Seguridad de la cadena de suministro: Este es un ataque a la cadena de suministro de software a nivel humano. La seguridad de un protocolo ahora está inextricablemente vinculada a la seguridad y verificación de cada individuo que alguna vez contribuyó a su repositorio.
  4. Necesidad de gobernanza descentralizada: Si bien el desarrollo puede estar centralizado en un equipo, los mecanismos de gobernanza descentralizados robustos para actualizaciones de código y respuestas de emergencia son más críticos que nunca para detectar y responder a propuestas maliciosas.

Mirando hacia adelante: una nueva mentalidad de seguridad

La comunidad de seguridad debe adaptarse a esta nueva realidad. Las recomendaciones incluyen:

  • Verificación de personal mejorada: Implementar verificaciones de antecedentes rigurosas y con identidad verificada para todos los desarrolladores principales, a pesar de la fricción que crea con el ethos libertario de las cripto.
  • Desarrollo multiparte y de conocimiento cero: Explorar técnicas criptográficas como pruebas de conocimiento cero (zero-knowledge) o computación multiparte (MPC) para permitir contribuciones de código sin que un solo desarrollador tenga conocimiento completo del sistema ejecutable completo.
  • Historial de contribuciones obligatorio: Hacer que el historial completo de git y la procedencia de todas las confirmaciones de código sean una parte estándar de la divulgación de seguridad de un protocolo.
  • Análisis conductual: Monitorear patrones donde un desarrollador aboga por o implementa secciones de código complejas y poco entendidas que podrían ocultar intenciones maliciosas.

Esta no es solo una historia sobre fondos robados; se trata de la corrupción de los bloques de construcción de un nuevo sistema financiero. El déficit de confianza creado puede ser el resultado más dañino de todos, forzando un rediseño fundamental de cómo se construye el software descentralizado seguro cuando el enemigo ya está en la sala.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

North Korean IT workers operated within DeFi protocols for years, researcher warns

Crypto News
Ver fuente

Агенты КНДР семь лет тайно писали код для ведущих DeFi

http://forklog.com/
Ver fuente

North Korean Hackers Infiltrated Crypto For Seven Years

Cointelegraph
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Seguridad Blockchain
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.