Anatomía del hackeo de la ballena en Venus Protocol

A principios de esta semana, la ballena cripto Kuan Sun compartió en su cuenta de X su experiencia detallada al ser víctima de un sofisticado ataque de phishing.

Esta historia sirve como una advertencia contundente para todos los inversores, ya que perdió y luego recuperó 13.5 millones de dólares. A medida que el ecosistema de activos digitales se expande, también lo hace el riesgo de hackeos. ¿Cómo pueden los inversores prevenir pérdidas masivas?

Una reunión aparentemente inofensiva que se convirtió en una pesadilla

Un ataque de phishing el martes le robó a Kuan Sun, usuario de la plataforma de préstamos descentralizados Venus Protocol, sus criptomonedas. Sin embargo, gracias a la rápida respuesta y cooperación del equipo de Venus Protocol, pudo recuperar los fondos robados.

El elaborado ataque comenzó en abril de 2025 durante la Conferencia Wanxiang en Hong Kong. Allí, un amigo en común presentó a Sun a alguien que afirmaba ser representante de Stack’s Asia Business Development. Este tipo de networking es común en el mundo cripto, y se agregaron mutuamente en Telegram.

El 29 de agosto, el supuesto “BD” solicitó una simple reunión por Zoom. Sun se unió tarde y notó que no había sonido en la sala.

Un mensaje emergente en su página web decía: “Tu micrófono necesita una actualización”. Confundido, Sun hizo clic en el botón de actualización—un error fatal que activó la trampa.

Más tarde, Sun se dio cuenta de que los hackers no estaban actuando improvisadamente. Dijo que el ataque, altamente personalizado, había estado en marcha desde el lunes, dirigido específicamente a él.

X Post From the Victim

Después de la “actualización”, comenzó a ver mensajes extraños en su computadora. El navegador Chrome se cerraba de manera anormal y aparecía un mensaje de “¿Restaurar pestañas?”

Sin sospechar nada, Sun continuó con su rutina y accedió a Venus Protocol a través de su navegador. Allí procedió a realizar un retiro, una tarea que había hecho incontables veces antes.

Poco después, su computadora se volvió lenta, su cuenta de Google fue desconectada de Chrome y aparecieron transacciones extrañas y desconocidas en su billetera. Inmediatamente supo que algo andaba muy mal.

El análisis sugiere que los hackers reemplazaron la extensión de billetera Rabby, que usaba frecuentemente, por un programa malicioso. Esta táctica es utilizada a menudo por Lazarus, el notorio grupo de hackers norcoreano.

Después de obtener la autoridad de aprobación de la billetera, transfirieron rápidamente varios tokens, incluidos vUSDC, vETH, vWBETH y vBNB.

Una recuperación rápida y lecciones clave

Sun actuó rápidamente contactando a las firmas de seguridad blockchain Peckshield y Slowmist para pedir orientación. También se comunicó con el equipo de Venus Protocol para solicitar ayuda.

Como resultado, Venus Protocol pausó inmediatamente la plataforma como medida preventiva e inició una investigación.

Luego, iniciaron una votación de gobernanza de emergencia para forzar la liquidación de la billetera del atacante, lo que permitió a Sun recuperar con éxito sus 13.5 millones de dólares.

El jueves, Sun compartió su historia y sus principales conclusiones. Advirtió que los hackers norcoreanos están utilizando cada vez más una combinación de ingeniería social, deepfakes y troyanos.

Como resultado, lo que parece ser una videoconferencia legítima o una cuenta normal de Twitter podría ser completamente falso.

Recomendó específicamente a los usuarios evitar enlaces de Zoom de otras personas y descargar complementos de programas solo desde canales oficiales. También les instó a nunca hacer clic en enlaces de “actualización” que aparecen en ventanas emergentes.

Sun expresó su agradecimiento al equipo de Venus por su rápida acción para evitar daños mayores. Instó a todos a “siempre sospechar de cualquier solicitud que reciban en la vida diaria y siempre responder con calma”.