TraderTraitor vuelve a atacar: esta vez el supply chain cripto completo
El grupo de hackers TraderTraitor, vinculado al gobierno de Corea del Norte y atribuido por firmas de seguridad a la unidad Lazarus Group / UNC4899, ha ejecutado uno de los ataques mas sofisticados al ecosistema cripto: comprometer el supply chain completo de plataformas de staking, robando codigo fuente, claves privadas y datos sensibles de la nube.
Este es el mismo grupo responsable del robo de $1.5 mil millones a Bybit en febrero de 2026, el mayor hackeo cripto de la historia. Segun el informe de Ctrl-Alt-Intel, el ataque comprometio multiples plataformas de la cadena de suministro que proveen infraestructura a cientos de exchanges y wallets.
Como funciono el ataque (supply chain)
A diferencia de hackear directamente a un exchange, TraderTraitor ataco a los proveedores de infraestructura: las empresas que escriben el codigo, las librerias y los servicios cloud que usan los exchanges. Esto les permite comprometer muchos objetivos a la vez.
| Vector de ataque | Que robaron | Impacto |
|---|---|---|
| Repositorios GitHub privados | Codigo fuente de contratos inteligentes | Vulnerabilidades para futuros exploits |
| Buckets de cloud (AWS/GCP) | Claves privadas, secretos de API | Acceso directo a fondos |
| Servidores de CI/CD | Variables de entorno, tokens de deploy | Control sobre deployments |
| Dependencias npm/pip maliciosas | Backdoors en librerias populares | Infeccion silenciosa de nodos |
| Cuentas de empleados | Credenciales de acceso interno | Persistencia a largo plazo |
Plataformas afectadas
Por motivos de seguridad activa, las firmas de investigacion no han publicado la lista completa. Ctrl-Alt-Intel confirma que al menos 12 plataformas de staking y 3 proveedores de infraestructura blockchain fueron comprometidos. Se espera divulgacion completa en los proximos dias.
Como saber si tu wallet o exchange fue afectado
Estas son las senales de alerta que debes verificar hoy:
- Transacciones no autorizadas: Revisa el historial completo de tu wallet en los ultimos 30 dias en Etherscan (ETH), Solscan (SOL) o el explorador de tu blockchain
- Permisos de contratos: Usa revoke.cash para ver y revocar permisos que apps de DeFi tienen sobre tu wallet
- Emails de plataformas afectadas: Espera comunicados de las plataformas en los proximos dias
- Actividad inusual en API keys: Si usas API de exchanges, revisa el historial de accesos
# Verificar permisos activos en tu wallet Ethereum:
# 1. Ve a https://revoke.cash
# 2. Conecta tu wallet (MetaMask, WalletConnect)
# 3. Selecciona la red (Ethereum, Polygon, BSC, etc.)
# 4. Revoca cualquier permiso de contratos que no reconozcas
# Para verificar transacciones recientes en Ethereum:
curl "https://api.etherscan.io/api?module=account&action=txlist&address=TU_DIRECCION&startblock=0&endblock=99999999&sort=desc&apikey=YourApiKeyToken"Acciones inmediatas si usas staking o DeFi
- Mueve fondos a cold wallet (hardware wallet: Ledger, Trezor) si tienes activos significativos en plataformas de staking
- Cambia todas las contrasenas de exchanges y activa 2FA con app (no SMS)
- Revoca permisos DeFi innecesarios con revoke.cash o Debank
- Monitorea alertas: Configura alertas en Etherscan para tu direccion
- No reutilices claves privadas: Si una clave estuvo en un servidor comprometido, considera esa wallet muerta
Problemas comunes al responder al hackeo
Problema 1: "No se como revisar si mi wallet fue afectada sin herramientas tecnicas." Solucion: usa DeBank, conecta tu wallet y ve la seccion "Approval" — muestra todos los contratos con permisos sobre tus tokens de forma visual.
Problema 2: "Tengo fondos en staking y no puedo retirarlos inmediatamente." Los periodos de unbonding en ETH son 3-7 dias. Solucion: inicia el proceso de unstaking ahora mientras evaluas el riesgo. Mientras tanto, cambia todas las credenciales de la plataforma.
Problema 3: "Como se si el exchange que uso fue comprometido?" Solucion: sigue los canales oficiales del exchange en X y Telegram. Los exchanges comprometidos estan obligados legalmente a notificar. Si no recibes comunicado en 72 horas, contacta soporte.
El patron de Corea del Norte: robar para financiar el regimen
Segun el analisis de Chainalysis, los hackers vinculados a Corea del Norte robaron mas de $3 mil millones en cripto entre 2022 y 2025, fondos que se usan para financiar el programa de misiles balisticos. En mi experiencia cubriendo seguridad cripto, TraderTraitor es el grupo mas sofisticado del mundo en este nicho.
