Upbit trasladó la mayor parte de los activos de los clientes a almacenamiento en frío después de una brecha en una billetera caliente el 27 de noviembre de 2025 que drenó un estimado de $30–38.5 millones en tokens basados en Solana, dijo el exchange. La acción detuvo de inmediato los depósitos y retiros y busca limitar una mayor exposición mientras los reguladores sopesan posibles cambios de responsabilidad para los exchanges.
La brecha se detectó alrededor de las 04:42 a.m. KST el 27 de noviembre de 2025 y afectó tokens incluyendo SOL, TRUMP, BONK y JUP. Upbit suspendió todos los depósitos y retiros mientras iniciaba la gestión de incidentes de emergencia para contener el exploit y evaluar el alcance del compromiso.
El momento llamó la atención: el exploit ocurrió en el sexto aniversario de una brecha anterior de Upbit y en medio de reportes sobre una propuesta de fusión de $10 mil millones con Naver Financial, lo que aumentó la presión comercial y de reputación sobre el exchange.
Upbit trasladó el 99% de los fondos de los usuarios a almacenamiento en frío desconectado, un cambio que supera el requisito existente de Corea del Sur de mantener el 80% de los activos fuera de línea. El exchange retiró las billeteras calientes comprometidas, purgó las antiguas direcciones de depósito y completó una amplia reemisión de puntos de depósito a nuevas direcciones.
Custodia reforzada, remediación técnica y contexto de la amenaza
El análisis forense identificó una vulnerabilidad de inferencia de clave privada que podría permitir a los atacantes deducir claves privadas analizando múltiples direcciones de billetera; Upbit afirmó que ese hallazgo impulsó una remediación sistemática en su arquitectura de billeteras. Para proteger a los clientes, la plataforma prometió el reembolso completo a los usuarios afectados y registró una pérdida corporativa de 5.9 mil millones de won para cubrir 38.6 mil millones de won en activos de los miembros.
Los investigadores han señalado patrones consistentes con grupos vinculados al Estado; analistas y autoridades han apuntado al Lazarus Group como un sospechoso principal dadas las similitudes en el compromiso de credenciales, movimientos de activos entre cadenas y el uso de servicios de mezcla de privacidad. El incidente también renueva el escrutinio del ecosistema Solana, que previamente experimentó fallos en billeteras y del lado del cliente en 2022 y 2023.
Los legisladores en Seúl están considerando medidas más estrictas, incluidas propuestas para la “responsabilidad sin culpa” que obligarían a los exchanges a compensar a los usuarios por pérdidas independientemente de la negligencia, un cambio regulatorio que podría remodelar los requisitos operativos y de capital para los custodios.
El hack obligó a Upbit a adoptar una postura de casi total almacenamiento en frío y expuso una debilidad arquitectónica con consecuencias directas en el balance y regulatorias. El incidente resalta la tensión entre la liquidez para los usuarios y los controles de custodia reforzados que los equipos de cumplimiento y producto deben reconciliar
