El hack de Alex Lab supuestamente afecta a los clientes de SPD Bank después de un exploit anterior de 8,3 millones de dólares
Según se informa, el hackeo del protocolo Bitcoin DeFi de Alex Lab se ha extendido a las finanzas tradicionales, y ChainCatcher dijo que los clientes del Shanghai Pudong Development Bank, o SPD Bank, se encontraban entre los afectados en el último incidente.
Alex Lab se comprometió anteriormente a reembolsar a los usuarios después de un exploit de 8,3 millones de dólares y se ha enfrentado a repetidos fallos de seguridad.
Los grupos vinculados a Corea del Norte, incluido Lazarus, han estado vinculados a operaciones anteriores relacionadas con Alex Lab dirigidas tanto a bancos como a proyectos DeFi.
Un reciente incidente de seguridad en el protocolo Bitcoin DeFi Alex Lab se ha extendido al sistema bancario tradicional, y el medio chino ChainCatcher informó que los clientes del Shanghai Pudong Development Bank (SPD Bank) se encontraban entre los afectados por el último exploit.
Según Unchained, Alex Lab, construido sobre la red Stacks ($STX), “sufrió una importante violación de seguridad el 6 de junio, lo que resultó en la pérdida de alrededor de $8,3 millones en activos digitales”, incluidos 8,4 millones de $STX, 21,85 sBTC y varios cientos de miles de dólares en USDT, USDC y wBTC, todos valorados en las ocho cifras bajas en términos de dólares en ese momento.
En ese caso anterior, el protocolo dijo que “reembolsaría completamente a los usuarios afectados”, enfatizando que cubriría las pérdidas de su propio tesoro mientras trabajaba con las fuerzas del orden y los intercambios para rastrear los fondos.
Las infracciones en serie de Alex Lab y los vínculos con la RPDC
El exploit de junio de 2025 no fue el primer incidente grave de Alex Lab.
La firma de seguridad Halborn señaló que "el hackeo de Alex Lab implicó pérdidas de $8,3 millones y fue causado por la incapacidad de identificar transacciones fallidas en la cadena de bloques Stacks", destacando una falla básica pero crítica en la lógica de verificación de auto-listado del protocolo.
Anteriormente, un ataque en 2024 al puente de cadenas cruzadas de Alex, conocido como XLink, costó más de 4 millones de dólares, y los investigadores luego vincularon la operación con el Grupo Lazarus de Corea del Norte, según un informe detallado del incidente citado por Coinfomania.
Un expediente conjunto de evasión de sanciones publicado por el Ministerio de Asuntos Exteriores de Japón enumera tanto a “Alex Lab (con sede en Singapur)” como a los principales prestamistas comerciales chinos, incluido el “Shanghai Pudong Development Bank”, como entidades objetivo o comprometidas por grupos de amenazas persistentes avanzadas (APT) vinculados a la RPDC, como Kimsuky y TraderTraitor.
Ese documento subraya cómo las unidades cibernéticas de Corea del Norte han combinado cada vez más objetivos financieros tradicionales como SPD Bank con protocolos DeFi como Alex Lab en flujos de trabajo de lavado de múltiples etapas.
Los reguladores y los participantes del mercado ahora están observando de cerca para ver si Alex Lab puede reconstruir de manera creíble la seguridad después de repetidos fracasos y si las autoridades chinas toman medidas para proteger a los bancos de un mayor contagio de activos digitales.