Hackers de Lazarus usaron DEX para mover miles de ETH ¿cómo lo hicieron?

El pasado viernes 21 de febrero Bybit sufrió un ataque atribuido al Lazarus Group, perdiendo alrededor de 400.000 ETH, unos 1.000 millones de dólares. De acuerdo con EmberCN, un sitio de análisis en cadena, los hackers movieron parte de estos fondos, unos 37.900 ETH (más de 100 millones de dólares), durante el fin de semana posterior, utilizando exchanges descentralizados (DEX). 

Esa misma fuente asegura que las wallets de los hackers de Bybit poseen más de 461.000 ETH (casi 1.300 millones de dólares), como se aprecia en la siguiente imagen: 

Entre algunos de esos DEX que usó el grupo Lazarus para mover fondos, han sido señalados Chainflip, THORChain, LiFi, DLN y eXch. Así, el empleo de esas plataformas pone de manifiesto cómo la descentralización, un pilar de la innovación en las finanzas descentralizadas (DeFi), conlleva un costo: generar un entorno accesible para hackeos, como el realizado por el grupo Lazarus para el presunto financiamiento de armas nucleares y militares.  

¿Es este el precio de la descentralización? 

El enfoque de estos DEX es la autonomía y la privacidad, y aunque beneficioso para usuarios legítimos, podría haber dado a Lazarus una vía para lavar los fondos robados. 

Sus características esenciales, como la falta de verificación KYC (Know Your Client), intercambios de criptomonedas (swaps) entre cadenas sin monitoreo de fondos por una entidad central, la falta de intermediarios en las transacciones, conformarían las condiciones necesarias para facilitar la “fuga” de los fondos hackeados a Bybit (y ataques similares). 

Cuestiones técnicas que impiden el control de transacciones en DEX 

Aquellos exchanges descentralizados poseen características técnicas inherentes a su diseño que limitan la capacidad de sus creadores o desarrolladores para intervenir o controlar las transacciones de los usuarios.

Una característica fundamental es su naturaleza no custodial. En estos DEX, los usuarios mantienen el control total de sus claves privadas y fondos, que no se depositan en una wallet centralizada gestionada por la plataforma, sino que permanecen en monederos personales hasta que se ejecuta una transacción. Esto elimina un punto de control central que podría ser intervenido.  

Por ejemplo, en THORChain y Chainflip, las transacciones se procesan a través de nodos descentralizados que validan operaciones usando contratos inteligentes o sistemas como bóvedas entre cadenas, sin que los desarrolladores tengan acceso directo a los activos. 

Otro aspecto clave es el uso de redes de nodos distribuidos. En Chainflip, por mencionar un caso, una red de 150 nodos opera el protocolo, cada uno ejecutando el software de manera independiente. Estos nodos, incentivados por el token FLIP en Chainflip o RUNE en THORChain, aseguran la red mediante un consenso, como Prueba de Participación (PoS).  

Chainflip es esencialmente un DEX, aunque su estructura de nodos y token nativo le permite funcionar como una red descentralizada. A su vez, utiliza un modelo de Just-In-Time Automated Market Maker (JIT AMM), que ajusta dinámicamente la liquidez para minimizar el slippage (la diferencia entre el precio esperado y el ejecutado). 

De modo tal que, para Chainflip, por ejemplo, tumbar el protocolo requeriría coordinar o desactivar una mayoría significativa de estos nodos, algo que los creadores no pueden hacer unilateralmente, ya que la gobernanza está distribuida. Incluso si los desarrolladores apagaran sus propios nodos o servicios frontales, la red podría seguir funcionando mientras los nodos independientes permanezcan activos. 

¿Cómo pueden seguir operando los usuarios si incluso tumbaran los servicios de front-end? 

El front-end es la interfaz gráfica que los usuarios suelen emplear para realizar swaps, como la ofrecida en el sitio oficial de Chainflip. Al momento de este artículo, figura “en mantenimiento”, lo que sugiere que el DEX aún la mantiene cerrada para aminorar el tráfico de transacciones allí. 

Sin embargo, dar de baja el front-end no produce que el protocolo mismo deje de funcionar. Los nodos distribuidos, incentivados por el token FLIP y operando bajo un consenso de PoS, continuaron ejecutando el código del protocolo.  

Esto significa que las transacciones podían seguir procesándose siempre que los usuarios encuentren una forma alternativa de interactuar con la red, ya que el front-end oficial no es un punto de control obligatorio.  

Por ejemplo, un usuario avanzado podría enviar una solicitud de swap (ETH a BTC) especificando los parámetros necesarios (dirección de destino, monto, cadena de salida) sin pasar por la interfaz gráfica. Esto requiere conocimientos técnicos, pero es viable porque los nodos siguen procesando esas solicitudes en la red. 

¿Se rehusaron estos DEX a ayudar a Bybit en el rastreo de datos? 

Tras la noticia de que el grupo Lazarus estaba moviendo los fondos hackeados a través del DEX eXch y convirtiendo esas tenencias en bitcoin (BTC), Bybit solicitó a eXch que bloqueara y persiga los movimientos de Lazarus.  

Este DEX se rehusó a hacerlo y argumentó su postura en que en el pasado Bybit había “activamente socavado nuestra reputación”. Durante el último año, desde Bybit han clasificado a las direcciones relacionadas con eXch como de “alto riesgo” y congelaron cuentas que movían fondos provenientes desde ese DEX, lo que eXch aseguró haber causado malestar en sus usuarios. 

Dada la naturaleza de la respuesta del equipo de eXch, se presume que sí tendrían la capacidad de llevar cabo ese bloqueo o congelamiento de fondos requerido por Bybit, aunque no quisieron hacerlo. Si no contaran con la autoridad de concretar esas acciones, ¿por qué no habrían fundado su negativa en cooperar con el exchange global en ello?

Distinto fue el caso, hasta el momento, de Chainflip. Desde esta plataforma han expresado que “hemos hecho lo que podemos por ahora, pero como protocolo descentralizado no podemos bloquear, congelar o redirigir completamente los fondos. Sin embargo, por ahora hemos desactivado algunos servicios front-end para detener el flujo”. 

Pese a insistir en que “no podemos cerrar completamente el protocolo”, desde el equipo de Chainflip ofrecieron otra posible solución, aunque no está actualmente disponible: “estamos trabajando en habilitar un filtrado más fuerte a nivel de broker de ETH para rechazar depósitos contaminados a través de la broker-api. Esto ya funciona para BTC. Solo necesitamos terminar la implementación para ETH”. 

La respuesta de Chainflip indicaría una limitación técnica intrínseca. No obstante, a juzgar por su respuesta ante Bybit, este DEX podría crear una posible solución mediante actualizaciones del protocolo, lo abriría una ventana para obtener un mayor control en los movimientos de sus usuarios. 

Así, los exchanges descentralizados como Chainflip, THORChain, LiFi, DLN y eXch ofrecen características que reflejan tanto ventajas como desafíos inherentes a su diseño. Su estructura sin intermediarios, la ausencia de verificaciones KYC y la capacidad de realizar swaps entre cadenas de forma no custodial otorgan a los usuarios un alto grado de autonomía y privacidad, permitiendo transacciones rápidas que eliminan la dependencia de entidades centralizadas.  

Sin embargo, estas mismas cualidades facilitan actividades como el movimiento de fondos robados, como los ether que Lazarus Group trasladó tras el hackeo a Bybit.