Cómo la decisión de Julian Assange casi destruyó un proyecto que cambió el mundo, y por qué Satoshi eligió desaparecer para siempre. Nadie Creía en Bitcoin en Ese Momento Año 2008. El mundo estaba en llamas debido a la crisis financiera global. En medio de esa destrucción, alguien (o un grupo de personas), bajo el seudónimo de Satoshi Nakamoto, publicó un white paper: "Bitcoin: Un Sistema de Efectivo Electrónico Peer-to-Peer." La respuesta de la comunidad cripto es muy pesimista. No sin razón. Antes de Bitcoin, decenas de proyectos de moneda digital habían intentado y fracasado (DigiCash, b-money, Bit Gold). Los criptógrafos estaban hartos de las grandes promesas que terminaban en ruina.
$AVAIL Un comerciante cambió 1,126 ETH (~$2,01 millones) en un DEX, pero el router en realidad dirigió la transacción al pool AVAIL/WETH con una liquidez extremadamente baja. Como resultado, la operación se ejecutó a un precio ~120 veces más caro que el precio real de venta del AVAIL.
Cronología técnica:
1. ~1.117 ETH entran al pool AVAIL/WETH de liquidez barata en Uniswap v3
2. El comerciante recibe ~6,67 millones de tokens AVAIL a un precio fuertemente inflacionado
3. Luego, el router llamado "0x router" vende un poco de AVAIL externo en el mismo pool, drenando ~1.072 WETH
4. A partir de ahí, 1,018 ETH (~$1,8 millones) se pagan como recompensa al Titan Builder (block builder de Ethereum)
5. El AVAIL restante se intercambia por tokens LIT con un valor de solo ~$14.200
Pérdida total del comerciante: 99,3% del capital inicial.
Según GoPlus Security, esto no es un ataque clásico de sandwich, sino una "extracción de backrun en el mismo bloque": un arbitraje extremadamente desigual que ocurre en el mismo bloque, el lunes 01:59 UTC.
El trader cripto Ruslan Khairullin afirma que el incidente se debe únicamente a que la víctima hizo clic en "confirm" sin leer antes la ruta del swap. Si se revisa la ruta de la transacción antes de firmar, esta pérdida podría haberse evitado.
Por su parte, Titan Builder ya ha obtenido $112,6 millones en ingresos este año por servicios de block building, según datos de DefiLlama. Su mayor récord fue en marzo pasado: $34 millones en arbitraje por incidentes de bots MEV en CoW Protocol.
Los bots MEV y los routers maliciosos ahora son un riesgo adicional más allá de los hacks y scams clásicos. Siempre revisa la ruta del swap antes de aprobar, especialmente para montos grandes en pools exóticos o de baja liquidez.
$BONK BonkDAO pierde 20 millones de dólares en BONK debido a una propuesta de gobernanza maliciosa
BonkDAO, una organización autónoma descentralizada detrás del memecoin BONK basado en Solana, informó el lunes que su tesorería perdió alrededor de 20 millones de dólares en tokens BONK como resultado de un ataque a través de una propuesta de gobernanza maliciosa. El anuncio se hizo a través de la cuenta oficial de X de Bonk Inu.
A diferencia de gran parte de los exploits de DeFi que aprovechan fallas de contratos inteligentes, este ataque utiliza el propio mecanismo de votación de gobernanza como vector. Un patrón similar ocurrió previamente en junio de 2026, cuando los tokens TOP relacionados con Balancer sufrieron una toma de gobernanza que drenó 1,58 millones de dólares.
BonkDAO afirma haber identificado la billetera de intercambio utilizada para comprar BONK antes de presentar esa propuesta maliciosa; un patrón que sugiere que el atacante colocó los tokens primero antes de impulsar la votación. Esta DAO asegura que está trabajando activamente con el exchange, los puentes (bridge) y la Fundación Solana para gestionar la situación, y que también ha reportado el incidente a las autoridades encargadas de hacer cumplir la ley con el fin de recuperar los fondos e identificar a los responsables.
El precio de BONK llegó a caer alrededor de un 7% en 24 horas tras el reporte del ataque, hasta un nivel cercano a 0,05 dólares.
Hasta el momento, las revelaciones solo provienen de la cuenta oficial de X de BonkDAO. No hay hashes de transacciones on-chain, informes forenses de una firma de seguridad independiente, ni confirmaciones de terceros publicadas. Tampoco se ha divulgado el mecanismo específico de gobernanza explotado ni la identidad de los responsables.
Coinspect advierte que la brecha de seguridad de Ill Bloom podría haber expuesto miles de monederos de Bitcoin, Ethereum, Polygon, Rootstock, Tron y Solana al robo.
Coinspect afirma que el problema de generar frases de recuperación débiles, conocidas como Ill Bloom, podría haber afectado a miles de monederos en distintas cadenas desde 2018. La empresa estima que alrededor de 5 millones de dólares se han transferido desde monederos vulnerables, señala que algunas retiradas de fondos recientes aún están ocurriendo y ha lanzado una herramienta para que los usuarios verifiquen si sus direcciones se han visto afectadas. Los usuarios de monederos de hardware parecen no estar afectados, mientras que los usuarios de monederos de software para móviles más antiguos o menos conocidos podrían enfrentar el mayor riesgo.
Blockaid mengatakan sistem deteksi eksploitasinya mengidentifikasi serangan aktif pada Summer.fi, platform agregasi yield DeFi dan manajemen vault otomatis, dengan sekitar $6 juta dana yang terkuras pada saat peringatan tersebut. Insiden ini menambah serangkaian pelanggaran keamanan DeFi baru-baru ini dan meningkatkan pengawasan terhadap desain vault otomatis, kontrol smart contract, dan keamanan dana pengguna sementara penyebab utamanya masih belum terkonfirmasi.
La cuenta oficial de X @JitocabalNFT emitió una alerta el 5 de julio de 2026. Advirtieron a la comunidad que no acceda al sitio jitocabal[.]com.
Ese dominio ha sido secuestrado por un tercero y se utiliza como wallet drainer. No visites el sitio, no conectes la wallet ni firmes ninguna transacción para mantener los activos a salvo.
Jito Cabal es una colección de NFT de la comunidad de Jito en Solana. Este proyecto está estrechamente relacionado con Jito Network, que tiene el token JTO (gobernanza) y JitoSOL (staking líquido). Los NFT se negocian usando SOL.
Jamf Threat Labs identifica PamStealer, un infostealer de macOS basado en Rust que se propaga a través de un sitio web falso de Maccy y AppleScript malicioso. Este malware comprueba la contraseña de la víctima mediante el PAM de macOS, roba credenciales del navegador, datos de Keychain, contenido del portapapeles y claves de una billetera cripto, además de intentar engañar a los usuarios para que otorguen Acceso a Disco Completo. Jamf también informa una campaña separada con estilo ClickFix, entregada mediante anuncios patrocinados en X.
$TRUMP Sebuah laporan New York Times yang mengutip data Nansen mengatakan bahwa 988.905 pembeli memecoin TRUMP milik Presiden Donald Trump kehilangan total $3,81 miliar pada akhir Juni. Token tersebut turun 97% dari puncaknya, sementara Trump dilaporkan memperoleh $636 juta dari proyek tersebut dan para pedagang awal serta pengguna otomatis memperoleh keuntungan sekitar $4 miliar sebelum terjadi penurunan harga. Para ahli hukum mengatakan Trump masih dapat menghadapi tuntutan perdata di masa mendatang meskipun SEC baru-baru ini melonggarkan pengawasan terhadap memecoin.
Quiero probar la optimización del cruce de medias móviles exponenciales (EMA) para 14 criptoactivos, y estos son los resultados.
Backtest sistemático de cruce dual-EMA (comprar cuando la EMA rápida cruza hacia arriba la EMA lenta, vender cuando cruza hacia abajo), comisión 0,15% por lado, para spot, marco temporal diario. Se probó en 14 activos: BTC, ETH, BNB, SOL, XMR, DOGE, ADA, XRP, LINK, TRX, XLM, ZEC, BCH, PAXG. La mayor parte incluye el historial completo desde el listado (2000-3200+ velas por activo).
Metodología: búsqueda en grilla EMA rápida(5-40) x lenta(20-200), 90 combinaciones por activo, se toma el mayor retorno y se compara contra Buy & Hold.
Hallazgos principales:
1. En 13 de 14 activos, el cruce de EMA supera a Buy & Hold
2. El parámetro óptimo NO es universal. Cada activo tiene una combinación distinta (BTC 10/30, ETH 20/26, SOL 9/26, XMR 12/20, etc.). No hay “un solo ajuste para todos”
3. Tasa de aciertos baja (25-50%), pero aun así es rentable al estilo típico de seguir tendencias: pocas operaciones grandes sostienen el retorno general
4. BNB, por el contrario, PIERDE frente a Buy & Hold. Esta estrategia no siempre gana; depende del carácter del movimiento del precio de cada activo
Cada criptoactivo tiene una optimización de Crossover EMA distinta. Esta optimización puede cambiar a medida que aumente la cantidad de datos de precios, que seguirá creciendo para las pruebas. Este método optimiza el Crossover EMA a partir de datos históricos ya ocurridos.
Advertencias metodológicas (importante, no omitir):
Esto es únicamente una optimización in-sample; aún no hay evaluación walk-forward out-of-sample. Los grandes retornos en el backtest histórico NO garantizan el mismo rendimiento en el futuro. El sobreajuste es un riesgo real. Como comparación, RSI y MACD ya se probaron con una metodología idéntica y pierden de forma menos consistente frente a EMA en los mismos datos.
Es una investigación independiente para aprender, no una invitación ni señales de trading. Se adjuntan capturas de los resultados abajo.
$LAB Anjlok Más de un 60% en una semana, la liquidez del DEX disminuye en medio de acusaciones de información privilegiada
El token LAB registra una caída brusca de más del 60% en la semana más reciente, con un precio actual en torno a $6,30 (-31,94% en 24 horas), después de tocar el mínimo de $5,44 y el máximo de $12,48 dentro del mismo periodo. El volumen de operaciones en 24 horas se sitúa en $7,38 millones en 81.945 transacciones.
La acción de venta se vio impulsada por una investigación del analista on-chain ZachXBT, quien acusa que un insider de LAB controla más del 95% del suministro del token mediante un esquema OTC cerrado, préstamos poco transparentes a través de una entidad BVI y cambios unilaterales del calendario de vesting. Se indica que la documentación oficial del proyecto no incluye detalles claros sobre la distribución de tokens.
En el mercado de derivados de Binance, la funding rate está en territorio negativo en -0,2135%, y llegó a desplomarse hasta (-1,2045%), lo que sugiere la dominancia de posiciones cortas y un sentimiento bajista fuerte. Mientras tanto, el open interest aumentó, pasando de aproximadamente $28,5 millones a $32,8 millones en las últimas horas, lo que indica la entrada de nuevas posiciones en medio de una alta volatilidad, no un desapalancamiento.
La liquidez en 10 de los principales pools de DEX disminuyó significativamente, desde un pico de $8,53 millones hasta alrededor de $5,95 millones en las últimas 24 horas, señalando la salida de liquidez por parte de los proveedores en medio de la incertidumbre.
La función de auditoría del token registra riesgo cero de contratos detectados, pero aun así emite una advertencia oficial única relacionada con la alta volatilidad del precio.
LAB registró previamente un all-time high de $27,96 a inicios de junio de 2026 antes de desplomarse un 77% en dos horas durante la misma sesión. El desbloqueo de un gran volumen de tokens (28% del suministro total) está programado para el 14 de agosto de 2026, lo que añade incertidumbre hacia adelante.
~No es asesoramiento financiero. HAZ TU PROPIA INVESTIGACIÓN.~
Referencia: CryptoTimes (ZachXBT Investigation), BeInCrypto, Datos on-chain de Binance
ROBO DE ENERGÍA ELÉCTRICA 33.000 VA, UN LOCALES (RUKO) EN BEKASI PRESUNTAMENTE SIRVE COMO BASE DE MINERÍA DE BITCOIN
Un ruko en Bekasi, Indonesia, ha llamado la atención después de que se sospechara que sería un lugar para la minería ilegal de Bitcoin. El caso salió a la luz tras las sospechas de los agentes encargados del registro del medidor PLN por anomalías en el consumo de electricidad en un edificio que casi dos años había permanecido vacío y sin ocupantes.
La cronología comenzó el domingo 28 de junio de 2026, cuando los vecinos hacían una jornada de trabajo comunitario para desmantelar una construcción adicional que invadía el canal de drenaje. Detrás de ella se halló una sala dividida en secciones, con una distribución parecida a un laberinto, que contenía una decena de dispositivos de servidores encendidos, completos con un sistema de enfriamiento. Dos días después, el equipo de P2TL de PLN se desplazó al lugar, escoltado por la policía.
Los resultados de la inspección confirmaron una conexión eléctrica ilegal trifásica que alimentaba directamente desde la red, sin pasar por el medidor kWh oficial, con una estimación de carga sustraída que alcanza los 33.000 VA. Los agentes incautaron 12 servidores junto con una unidad de soplador (blower) como pruebas y, posteriormente, cortaron el flujo total de esa electricidad ilegal. El ruko ya fue precintado con una línea policial.
PLN reportó oficialmente el caso a la policía. Sin embargo, es importante señalar que las autoridades indicaron que los investigadores aún no pueden confirmar la función exacta de los servidores incautados, incluido si realmente se usan para la minería de Bitcoin ($BTC ). Se sigue esperando la confirmación de los resultados del examen de un perito forense digital para determinar su estatus legal.
Los agentes de PLN señalaron que casos similares ya ocurrieron cinco veces en el área de Bekasi y sus alrededores durante el último año, un patrón consistente con incentivos económicos ilegales. La electricidad robada elimina el mayor costo operativo de la minería y, al mismo tiempo, logra evadir el rastro de los pagos oficiales.
La instalación trifásica sin protección estándar en un edificio densamente poblado conlleva el riesgo de cortocircuitos e incendios graves, independientemente de cualquier actividad que hubiera detrás.
La identidad del inquilino o del propietario del ruko no se ha revelado al público. Se sabe que ambos están fuera del área de Bekasi. El caso aún se encuentra en fase de investigación.
Fuente: Kompas.com, detikcom, CNN Indonesia, Beritasatu (2–3 de julio de 2026)
Hinkal Denunció como Víctima de una Explotación por $820.000 cuando los Fondos Pasaron a Tornado Cash y Bitcoin
Specter informó presuntas explotaciones del Protocolo Hinkal por un valor aproximado de $820.000, y los fondos vinculados a los atacantes fluyeron a través de Tornado Cash y THORChain poco después de ese incidente.
El rastro de transacciones on-chain registra 410 ETH, por un valor de aproximadamente $700.000, depositados en Tornado Cash. Otros 44,7 ETH se transfirieron de Ethereum a una dirección de Bitcoin que comienza con bc1qr2sf y termina en zn3w mediante THORChain.
El aviso no incluye un análisis profundo confirmado de Hinkal, detalles de las transacciones de explotación ni una explicación de la causa principal. Por lo tanto, este incidente se clasifica mejor como una advertencia de investigadores on-chain hasta que Hinkal o una empresa de seguridad independiente publique un informe técnico más completo.
Hinkal es un protocolo centrado en la privacidad para transferencias personales y actividades on-chain protegidas. Su Whitepaper - explica un sistema de privacidad de Ethereum con zero-knowledge que recibe depósitos de ETH y ERC-20 para que los usuarios puedan posteriormente retirar, transferir, intercambiar o hacer staking sin vincular directamente las acciones posteriores con el depósito inicial
Christopher Alexander Delgado, ex CEO de Goliath Ventures, admite su culpabilidad por fraude y lavado de dinero en un esquema de inversión en cripto que, según los fiscales, robó al menos 400 millones de dólares a los inversores. Reconoce haber causado pérdidas de al menos 250 millones de dólares y acepta entregar los bienes de lujo adquiridos con fondos de los inversores antes de la audiencia de sentencia prevista para el 8 de octubre.
Crítica vulnerabilidad en el protocolo de Reserve: una brecha de congelamiento de fondos de hasta 2 millones de dólares revelada por GregoAI
Los investigadores de seguridad de IA GregoAI revelaron una vulnerabilidad crítica en el contrato BackingManager del Protocolo Reserve, que podría congelar fondos de forma permanente hasta 2 millones de dólares por subasta. El hallazgo se resolvió mediante el programa de bug bounty Immunefi y nunca se explotó en campo.
La vulnerabilidad se origina en la función rebalance(), que no tiene controles de acceso sobre el parámetro del tipo de subasta. Cualquiera puede forzar al protocolo a desviar el reequilibrio de la subasta holandesa predeterminada hacia la ruta de reserva batch de Gnosis EasyAuction.
Después de que la subasta se fuerza a quedar abierta, el atacante coloca una oferta de aproximadamente 0,01 dólares en una subasta que aún no está completamente llena y, luego, llama a la función pública precalculateSellAmountSum() justo después de que finaliza la subasta. Esta manipulación desplaza el puntero de liquidación a la posición final de la cola, haciendo que la variable contadora permanezca en cero.
Cuando se llama a settleAuction(), esta condición provoca una operación de división por cero que falla de forma permanente. La garantía del protocolo y los depósitos de todos los licitadores de terceros quedan bloqueados sin una vía de recuperación, porque el contrato EasyAuction no puede actualizarse y no tiene una función de rescate de administración.
El análisis on-chain de GregoAI confirma que un ataque con un costo de aproximadamente 2,50 dólares puede congelar hasta 997.207 dólares en una sola subasta. Siete subastas consecutivas el mismo día podrían quedar inutilizadas al mismo tiempo, debido a que el ciclo de gobernanza de ocho días bloqueará la creación de la subasta siguiente.
Reserve Protocol responde deteniendo temporalmente el comercio del rendimiento DTF, que incluye más del 99% del TVL afectado, antes de realizarse la divulgación pública. Luego, la gobernanza del protocolo elimina por completo la ruta de subasta batch estableciendo batchAuctionLength en cero. Se garantiza que las funciones de acuñación, canje y el mecanismo de stRSR no se vean afectados.
Fuente: GregoAI, Reserve Protocol / ABC Labs, Plataforma de bug bounty Immunefi, Gnosis. $RSR
Parece ser una transacción sospechosa que ocurrió recientemente en la red de Ethereum en el Bloque 25434062 (aproximadamente esta mañana, 1 de julio de 2026). Una interacción on-chain de gran escala que involucra el Protocolo Edel, una plataforma de activos sintéticos basada en RWA (Activos del Mundo Real), muestra un patrón muy inusual y ha desatado una profunda especulación entre los observadores de DeFi. Sin pretender hacer afirmaciones unilaterales antes de contar con confirmación oficial, hay varias anomalías técnicas que indican la posible existencia de algún problema o de una estrategia de trading extremadamente poco razonable:
El fiscal general de los Países Bajos solicita al tribunal de Róterdam que declare en quiebra la plataforma cripto Knaken Cryptohandel, junto con su entidad afiliada, Stichting Knaken Payments, en interés público. Knaken ha estado fuera de línea desde principios de junio de 2026, lo que ha dejado a unos 30.000 clientes sin poder acceder a sus criptoactivos.
La plataforma opera sin una licencia del regulador del mercado neerlandés (AFM), exigida por las normas cripto de la Unión Europea, a pesar de ofrecer servicios de intercambio de euros por moneda cripto, operaciones de compraventa y almacenamiento de activos digitales.
Aunque la empresa afirma haber suspendido sus operaciones y estar en proceso de liquidación, el fiscal manifiesta su preocupación por un proceso que considera poco ordenado, incluida la presunta afirmación de que Knaken habría instado a los clientes a no presentar reclamaciones de indemnización.
Si el tribunal concede esta solicitud, el administrador designado por el tribunal tomará el control de los activos de Knaken para determinar la distribución entre clientes y acreedores.
De manera paralela, la autoridad Fiscal Information and Investigation Service (FIOD) lleva a cabo una investigación penal separada, que el lunes dio como resultado registros en ubicaciones y la incautación de dispositivos y activos de la empresa, aunque aún no se han producido arrestos.
El caso surge en paralelo con el fin del periodo transitorio de la regulación MiCA (Markets in Crypto-Assets) de la Unión Europea el 1 de julio de 2026, tras el cual las plataformas no autorizadas ya no podrán atender legalmente a clientes de la UE, una condición que se prevé que depurará el mercado, que actualmente solo cuenta con alrededor de 200 firmas con licencia completa.
Knaken había construido previamente su imagen pública mediante patrocinio de clubes de fútbol neerlandeses como Ajax, Feyenoord y Sparta Rotterdam, pero esa colaboración terminó antes del colapso de la empresa, en línea con la admisión de Knaken en su informe financiero anual de 2024 de que su situación financiera era precaria.
Fuente: Decrypt . co — Dutch Prosecutors Seek to Bankrupt Crypto Platform Knaken After Funds Frozen
El escándalo por la gestión de casos de delitos cibernéticos por parte de una plataforma de intercambio centralizado (Centralized Exchange) vuelve a provocar fuertes críticas por parte de la comunidad cripto global. Se informó que una destacada plataforma CEX, en lugar de ayudar, envió amenazas legales por correo electrónico a una víctima de un hackeo que estaba luchando por sus derechos. La medida controvertida fue adoptada por el exchange después de que la víctima denunciara oficialmente el incidente de robo de activos y exigiera la congelación de los fondos del presunto responsable, algo que la comunidad consideró como una forma de intimidación estructural y un fallo en la protección de los consumidores.
El problema de fondo de este caso comenzó con un gran incidente de hackeo ocurrido el 18 de agosto de 2025. En ese momento, la víctima fue objeto del ataque de malware Atomic macOS Stealer (AMOS), lo que terminó con el vaciado de activos digitales por un valor de $250.000, o equivalente a 4 mil millones de rupias. Según los datos de rastreo on-chain, los atacantes movieron inmediatamente todo el dinero robado desde la billetera de la víctima hacia varias direcciones de depósito en ese CEX. Se sospecha fuertemente que el autor utilizó cuentas basadas en KYC mule (identidades falsas obtenidas mediante compras ilegales en el mercado negro) para engañar al sistema de verificación de la plataforma.
La postura pasiva de la plataforma, que en cambio se dio vuelta para atacar a la víctima con un relato legal, reafirma el riesgo latente de un sistema de supervisión centralizada que responde con lentitud a la mitigación del lavado de dinero producto del delito. Este episodio se convierte en un recordatorio fatal para la comunidad sobre la importancia de la soberanía digital total. En el ecosistema Web3, el principio principal no cambia: asegure sus activos mediante métodos de self-custody, evite mantener grandes volúmenes de capital en exchanges custodiados y mejore la protección del dispositivo frente a amenazas infostealer.
Se vaciaron 5,6 millones de dólares en 8 horas: Investigación de un ataque on-chain multilayer en Ethereum y BNB Chain
Una víctima. Seis direcciones de robo. Un agregador. El dinero se mueve tan rápido como el bloque se confirma. Specter, analista on-chain que en los últimos meses se ha mantenido constantemente como el primero en señalar grandes incidentes de seguridad en cripto, reporta un ataque contra una billetera de una víctima con una estimación de pérdidas de 5,6 millones de dólares. Todos los activos fueron drenados de la cadena BNB y de Ethereum, convertidos en ETH y BNB, y luego consolidados en una sola dirección centralizada en menos de 8 horas. Con base en los datos ahora disponibles de Etherscan, BscScan y Debank, este artículo reconstruye por completo el flujo de fondos de ese ataque.
Eksploitasi yang berkaitan dengan mata uang kripto yang terjadi sejak awal Januari 2026 telah menarik perhatian saya pada satu entitas yang seringkali disebut-sebut namanya: Lazarus Group. Nama ini menjadi familiar di telinga saya sejak insiden Bybit Exploit. Hingga hari ini, entitas tersebut telah menarik perhatian dari para detektif on-chain, termasuk Specter dan juga ZachXBT. Ini juga membuat saya semakin memusatkan perhatian ke entitas tersebut. Kali ini di artikel ini, saya akan membagikan beberapa penelusuran saya tentang Lazarus Group yang mungkin tidak lengkap dan mungkin juga ada beberapa kesalahan yang perlu dikoreksi. Apa sebenarnya Lazarus Group ini? Mari kita telusuri lebih lanjut Akar Historis (Sebelum "Lazarus" Ada) Pembentukan kapasitas cyber Korea Utara jauh lebih tua dari nama "Lazarus" itu sendiri. Direktur NK Intellectuals Solidarity, Heung Kwan Kim, menyatakan Korea Utara terinspirasi dari unit cyberwar Tiongkok dan belajar dari mereka. Menyadari kekuatannya, Korea Utara mendirikan unit pertama di pemerintahan pusat pada 1993. Versi lain menyebut periode pembentukan sedikit berbeda: genesis Bureau 121 bisa dilacak ke akhir 1990-an ketika Korea Utara mulai menyadari potensi teknologi informasi sebagai alat pertahanan dan ofensif nasional. Rezim menyadari operasi cyber bisa jadi strategi peperangan asimetris melawan musuh yang superior secara teknologi, khususnya musuh utama mereka Korea Selatan dan Amerika Serikat. Riset lain (Hunt & Hackett) menyebut tahun pembentukan yang lebih spesifik: tanda-tanda paling awal Lazarus bisa dilacak ke 2007, saat Korea Utara di bawah kekuasaan Kim Jong Il, ayah dari pemimpin saat ini Kim Jong Un. Lazarus diyakini didirikan sebagai unit cyberwarfare di bawah Reconnaissance General Bureau (RGB), agensi intelijen utama Korea Utara. Pada periode ini, pengembangan kapasitas cyber dipandang esensial bagi strategi peperangan asimetris rezim. Kutipan ideologis penting dari Kim Jong Il yang menjelaskan mengapa rezim berinvestasi besar di cyber warfare: Kim Jong Il dikabarkan sangat mendukung pendekatan ini, menyatakan "serangan cyber itu seperti bom atom" dan "perang dimenangkan atau dikalahkan oleh siapa yang punya akses lebih besar ke informasi teknis militer musuh di masa damai." Meski tidak pasti, kemungkinan mereka juga berada di belakang serangan 2007 yang menyasar Korea Selatan. Operasi Pertama yang Terdokumentasi (Operation Troy) Serangan pertama yang dikenal dan diatribusikan ke kelompok ini disebut "Operation Troy", berlangsung dari 2009 sampai 2012. Sebuah kampanye cyber-espionage yang memanfaatkan teknik DDoS yang tidak terlalu sofistikan untuk menyasar pemerintah Korea Selatan di Seoul. Insiden hacking besar pertama Lazarus Group terjadi pada 4 Juli 2009, memicu awal dari "Operation Troy". Serangan ini menggunakan malware Mydoom dan Dozer untuk meluncurkan serangan DDoS skala besar namun tidak terlalu sofistikan terhadap website AS dan Korea Selatan. Rentetan serangan ini menghantam sekitar tiga lusin website dan menaruh teks "Memory of the Independence Day" di master boot record (MBR). Evolusi taktik berlanjut, serangan Maret 2011 yang disebut "Ten Days of Rain" menyasar media, finansial, dan infrastruktur kritis Korea Selatan, terdiri dari serangan DDoS yang lebih sofistikan yang berasal dari komputer yang dikompromikan di dalam Korea Selatan. Serangan berlanjut pada 20 Maret 2013 dengan DarkSeoul, serangan wiper yang menyasar tiga perusahaan penyiaran Korea Selatan, institusi finansial, dan satu ISP. Dari Espionase ke Pendanaan Rezim Titik balik strategis terjadi pasca-kematian pemimpin lama. Operasi paling awal Lazarus cenderung berfokus pada espionase dan disrupsi, terutama menyasar organisasi di Amerika Serikat dan Korea Selatan. Setelah kematian Kim Jong Il pada 2011, Kim Jong Un berupaya memperluas visi ayahnya dan memanfaatkan kapasitas cyber negara untuk menghasilkan pendapatan bagi rezim. Struktur Komando. RGB, Bureau 121, dan Lab 110 Ini bagian paling kompleks dan paling sering disalahpahami, termasuk oleh media. Berikut breakdown struktur sesuai sumber paling kredibel (Mandiant/Google Cloud): Reconnaissance General Bureau (RGB), induk dari segalanya. RGB didirikan pada 2009, adalah agensi intelijen Korea Utara yang bertanggung jawab atas spionase, operasi rahasia, dan cyber espionage. RGB terdiri dari enam bureau berbeda, dengan Bureau ke-3 (Foreign Intelligence) dan Bureau ke-5 (Inter-Korean Affairs) yang memegang porsi utama operasi. Bureau 121 → Lab 110, evolusi unit utama. Menurut Mandiant: Lab 110 adalah titik fokus untuk "Lazarus Group" sebagai payung istilah. TEMP.Hermit, APT38, dan Andariel kemungkinan berada di bawah Lab 110. Lab 110 kemungkinan adalah versi yang diperluas dan direorganisasi dari "Bureau 121," yang sering disebut sebagai unit hacking utama Korea Utara. Pelaporan open-source sering menggunakan judul "Lazarus Group" sebagai payung istilah, merujuk pada banyak operator cyber Korea Utara, namun Mandiant melacaknya secara terpisah. Meski TEMP.Hermit paling sering disejajarkan dengan pelaporan Lazarus Group, peneliti dan sumber terbuka sering menggabungkan ketiga set aktor ini, bahkan terkadang semua APT Korea Utara, hanya sebagai "Lazarus Group". Nama "Bureau 121" diyakini berasal dari kombinasi nomor unit dan referensi umum ke kebijakan militer-utama Korea Utara yang dikenal sebagai "Songun". Ambiguitas yang belum terselesaikan, bahkan komunitas riset profesional mengakui bahwa tidak ada pemahaman umum di komunitas threat intelligence, akademisi, maupun otoritas negara tentang hierarki yang jelas terdefinisi atau organisasi unit cyber Korea Utara dan penamaan APT mereka masing-masing. Sumber akademik lain bahkan mencatat versi hierarki terbalik: sumber lama, seperti satu bab akademik dari peneliti Korea Selatan tahun 2019, menganggap Lab 110 justru berada di bawah Bureau 121, kontradiksi langsung dengan asumsi Mandiant bahwa Lab 110 adalah evolusi dari Bureau 121. Filosofi operasional dari Bureau 121 yang menjelaskan mengapa atribusi selalu sulit, ciri khas struktur operasional Bureau 121 adalah fokus pada kerahasiaan dan plausible deniability. Unit ini menggunakan taktik false flag dan memanfaatkan kelompok hacking yang seolah independen (seperti Lazarus Group) untuk lebih mengaburkan aktivitasnya. Ini memungkinkan Korea Utara menjauhkan diri dari aksi cybernya sambil tetap menikmati keuntungan dari disrupsi yang ditimbulkan. Bureau 325 (Unit yang Lebih Baru) Ada perkembangan struktural lebih lanjut yang relevan untuk konteks 2021+. Bureau 325 diumumkan secara publik pada Januari 2021, dan menunjukkan peningkatan tanggung jawab yang mengindikasikan kelompok ini telah dengan cepat memperoleh kepercayaan dari kepemimpinan senior DPRK dan kemungkinan memperoleh keunggulan posisi. Skala Total Kekuatan Cyber Korea Utara Di luar Lazarus spesifik, total kapasitas cyber negara jauh lebih besar: para ahli menyatakan ada antara 6.000 hingga 7.500 anggota tentara cyber Korea Utara, terbagi dalam beberapa divisi untuk melakukan cyberterrorism terhadap infrastruktur negara, institusi finansial, dan yang terbaru pembajakan teknologi pertahanan. Dalam hierarki ini, Unit 121 mengawasi Unit 180, Unit 91, dan Lab 110. PROFIL DETAIL SUB-UNIT BlueNoroff / APT38 / Stardust Chollima / Sapphire Sleet Fokusnya pada Mesin finansial utama. Aktif setidaknya sejak 2014, APT38 telah menyasar bank, institusi finansial, kasino, bursa kripto, endpoint sistem SWIFT, dan ATM di setidaknya 38 negara di seluruh dunia. Operasi signifikan: heist Bank of Bangladesh 2016 senilai $81 juta, serta serangan terhadap Bancomext dan Banco de Chile, sebagian serangan ini bersifat destruktif. Estimasi kekuatan personel: sekitar 1.700 anggota Sub-unit terkait: "CryptoCore" atau "Dangerous Password", kemungkinan subgrup dari APT38 yang juga fokus pada aktivitas finansial. Karakteristik operasional unik dari riset Kaspersky 2017: Kaspersky melaporkan bahwa Lazarus cenderung berkonsentrasi pada spionase dan infiltrasi, sementara sub-grup yang mereka sebut Bluenoroff berspesialisasi dalam serangan finansial. Kaspersky menemukan banyak serangan di seluruh dunia dan tautan langsung (alamat IP) antara Bluenoroff dan Korea Utara. Kaspersky juga mengakui bahwa repetisi kode bisa jadi "false flag" yang dimaksudkan untuk menyesatkan investigator dan menuduhkan serangan ke Korea Utara, mengingat worm WannaCry global menyalin teknik dari NSA juga. Ransomware ini memanfaatkan exploit NSA bernama EternalBlue yang dibocorkan kelompok hacker Shadow Brokers pada April 2017. Meski demikian, Symantec melaporkan pada 2017 bahwa "sangat mungkin" Lazarus berada di belakang serangan WannaCry. Andariel / Onyx Sleet / Jumpy Pisces Fokusnya pada operasi espionase terutama menyasar pertahanan, pemerintahan, dan infrastruktur kritis Korea Selatan, dengan peningkatan operasi ransomware terhadap organisasi kesehatan global. Estimasi kekuatan personel dan misi spesifik: menurut laporan 2020 dari Angkatan Darat AS, Andariel memiliki sekitar 1.600 anggota yang bermisi melakukan reconnaissance, asesmen kerentanan network, dan pemetaan network musuh untuk potensi serangan. Target lengkap dan vektor serangan: selain Korea Selatan, mereka juga menyasar pemerintahan, infrastruktur, dan bisnis negara lain. Vektor serangan meliputi ActiveX, kerentanan di software Korea Selatan, watering hole attacks, spear phishing (macro), produk IT management (antivirus, PMS), dan supply chain (installer dan updater). Malware signature: Aryan, Gh0st RAT, Rifdoor, Phandoor, dan Andarat. TEMP.Hermit Diyakini berfokus pada pengumpulan intelijen strategis, dikenal menyasar organisasi di sektor pemerintahan, pertahanan, telekomunikasi, dan finansial. Indikator Atribusi Resmi (Legal/Hukum) Pada Februari 2021, Departemen Kehakiman AS mendakwa tiga anggota Reconnaissance General Bureau l (agensi intelijen militer Korea Utara) atas partisipasi mereka dalam beberapa kampanye hacking Lazarus: Park Jin Hyok, Jon Chang Hyok, dan Kim Il Park. Jin Hyok sudah didakwa lebih awal pada September 2018. TRACK RECORD KRONOLOGIS LENGKAP Fase I, Espionase Murni (2009–2013) Fase II, Ekspansi Global & Destruktif (2014–2016) 2014: Sony Pictures Entertainment. Balasan atas film "The Interview" yang menggambarkan pembunuhan Kim Jong-un; kelompok ini mencuri dan membocorkan data rahasia termasuk film yang belum dirilis, informasi karyawan, dan email memalukan eksekutif; mengerahkan malware destruktif yang menghapus data dari ribuan komputer; membuat ancaman teror terhadap bioskop yang menayangkan film tersebut. FBI secara resmi mengatribusikan serangan ini ke Korea Utara, salah satu atribusi publik pertama serangan cyber besar ke aktor negara.2016: Bank Sentral Bangladesh. Percobaan pencurian hampir $1 miliar dari bank sentral Bangladesh menggunakan jaringan perbankan SWIFT (realisasi $81 juta yang berhasil dicuri). Fase III, Pivot ke Kripto (2017–2021) 2017: Lazarus dituduh menyerang bursa kripto Korea Selatan Bithumb. Pencuri cyber membawa hampir $7 juta mata uang digital, juga mendapatkan informasi pribadi pengguna yang tersimpan di server terkompromisasi. BBC melaporkan Korea Utara kemudian mampu memeras dana tambahan dari pemilik dengan imbalan menghapus data tersebut.2017: WannaCry menginfeksi lebih dari 200.000 komputer di 150 negara, melumpuhkan sistem kritis termasuk NHS Inggris.2017: Youbit bangkrut setelah 17% aset dicuri; NiceHash kehilangan 4.500+ BTC Fase IV, Era DeFi Masif (2022–2024) Maret 2022: Ronin Network/Axie Infinity ($620–625 juta), dikonfirmasi FBI sebagai kerja Lazarus + APT38Juni 2022: Harmony Horizon Bridge ($100 juta), dikonfirmasi FBI2023: Diversifikasi target tinggi, ($300+ juta) total kerugian (17,6% dari kerugian tahun itu), termasuk Atomic Wallet ($100 juta), Stake.com ($41 juta, dikonfirmasi FBI), CoinEx, Alphapo, CoinsPaid (kombinasi $308,6 juta Juni–September)Mei 2024: DMM Bitcoin ($308 juta) Fase V, Eskalasi Ekstrem (2025–2026) Februari 2025: Bybit ($1,5 miliar), heist tunggal terbesar dalam sejarah menurut FBI. Modusnya, kode berbahaya disuntikkan ke software wallet, menipu operator agar menyetujui transaksi ke alamat hacker.12 Maret 2026: OFAC menambah sanksi baru menyasar jaringan IT worker DPRK1 April 2026: Drift Protocol ($285 juta), lalu KelpDAO/LayerZero pada 18 April 2026 ($292 juta). Penyerang mengompromikan node RPC yang digunakan DVN (Decentralized Verifier Network) milik LayerZero Labs, dan kemudian menguras 116.500 rsETH milik KelpDAO; dampak meluas hingga $13 miliar TVL tergerus dari seluruh DeFi dalam 2 hariApril 2026: Kampanye malware "Mach-O Man", kit malware macOS modular dari divisi Chollima, delivery via teknik ClickFix (korban diminta paste command terminal Mac untuk "memperbaiki" masalah koneksi palsu), self-deleting setelah eksekusi STATISTIK KUMULATIF & SKALA DPRK mencuri $2,02 miliar pada 2025 (naik 51% YoY) total akumulasi sepanjang masa $6,75 miliar.Pada 2025, hacker Korea Utara menyumbang 76% dari seluruh service compromise (kompromi di tingkat layanan/protokol), rekor tertinggi yang pernah tercatat.Chainalysis menempatkan kumulatif pencurian kripto terkait DPRK di $6,75 miliar antara 2019 hingga akhir 2025, dipimpin oleh perolehan rekor $2,02 miliar tahun lalu.Cakupan geografis ekstrem, korban tersebar di puluhan negara dari Albania hingga Zambia, mencakup hampir seluruh benua.UN Panel of Experts memperkirakan dana hasil pencurian kripto membiayai porsi material dari program pengembangan misil balistik dan senjata nuklir Korea Utara. MODUS OPERANDI TEKNIS Social Engineering & Fake Recruitment Lazarus semakin canggih menggunakan social engineering berbasis AI. Aktor dengan identitas palsu lengkap resume, portfolio, dan kemampuan interview telah menyusup ke pipeline rekrutmen perusahaan. Evolusi IT Worker Scheme Program berevolusi dari operatif yang melamar pekerjaan remote di perusahaan kripto, menjadi orkestrasi proses rekrutmen palsu, menyamar sebagai recruiter perusahaan Web3/AI ternama untuk memanen kredensial, source code, dan akses VPN. Operasi Lintas Negara Banyak operatif bekerja dari lokasi luar negeri (terutama China, tapi juga Rusia, Asia Tenggara, dan Eropa Timur) untuk mengakses infrastruktur internet yang lebih baik dan mempertahankan keamanan operasional. Sistem Pendidikan Pemasok Talenta Kim Il-Sung University: universitas paling prestisius negara dengan program khusus computer science dan keamanan informasi.Mirim College: dikenal untuk melatih spesialis computer warfare.Korea Automation Center: melakukan pelatihan teknis lanjutan untuk personel cyberwarfare. Siswa terpilih menjalani pelatihan bertahun-tahun sebelum ditempatkan di unit operasional. Pencucian Dana Pasca-Heist Alur laundering mengikuti empat tahap, dimulai dari pergerakan cross-chain cepat dalam hitungan jam dana di-bridge dari chain asal ke Ethereum untuk likuiditas dan opsi mixing lebih besar. Pasca sanksi Tornado Cash dan vonis Roman Storm, respons mereka adalah adaptasi, bukan penurunan aktivitas. Jalur konversi fiat: dana sering mengalir ke marketplace P2P seperti Paxful dan Noones. Transaksi Bitcoin terbaru yang ditandai sebagai dompet milik Lazarus Group (menurut Arkham Intelligence) tercatat di Blockchain Bitcoin 3 hari yang lalu. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Penting untuk dipahami bahwa struktur organisasi Lazarus yang dipaparkan di atas (RGB, Lab 110, Bureau 121, hingga sub-unit seperti BlueNoroff dan Andariel) bukanlah hierarki yang disepakati bulat oleh komunitas keamanan. Bahkan lembaga riset sekaliber Mandiant dan EuRepoC mengakui belum ada konsensus pasti soal siapa membawahi siapa. Ini bukan kegagalan riset, melainkan hasil dari desain operasional Bureau 121 sendiri yang sejak awal mengutamakan kerahasiaan dan plausible deniability. Risiko false-flag juga tidak pernah benar-benar tertutup. Kaspersky sendiri pernah mengakui pada 2017 bahwa kemiripan kode bisa jadi rekayasa untuk menyesatkan investigator. Mengingat WannaCry, salah satu serangan paling diasosiasikan dengan Lazarus, justru memanfaatkan tools NSA yang dicuri Shadow Brokers. Begitu pula penyebutan "Lazarus" dalam insiden-insiden terbaru seperti Bybit dan KelpDAO: banyak laporan awal masih berstatus "indikasi" atau "kemungkinan atribusi" dari vendor keamanan swasta, bukan konfirmasi forensik resmi dari lembaga seperti FBI. Demikian juga angka kekuatan personel yang sering dikutip (1.600 hingga 1.700 per unit, atau total 3.300–7.500 anggota) berasal dari estimasi sumber yang berbeda-beda dengan metodologi yang tidak terbuka ke publik, sehingga patut diperlakukan sebagai perkiraan, bukan fakta pasti. Sumber: 1. VOA News — Where Did North Korea's Cyber Army Come From?2. TerraZone — Lazarus Group: The Complete Guide to North Korea's Dangerous Cyber Threat Actors3. Hunt & Hackett — Threat Actor Profile: Lazarus4. Wikipedia — Lazarus Group5. Mandiant / Google Cloud Blog — Not So Lazarus: Mapping DPRK Cyber Threat Groups to Government Organizations6. EuRepoC (European Repository of Cyber Incidents) — APT Profile: Lazarus Group7. UMA Technology — Bureau 121, North Korea's Elite Cyber Hacking Unit8. Bugcrowd — Lazarus Group Glossary9. MITRE ATT&CK — Group G0032 (Lazarus Group)10. ResearchGate — "Lazarus" The North Korean Hacker Group (jurnal akademik)11. Chainalysis — 2026 Crypto Crime Report12. CertiK — riset kampanye malware "Mach-O Man" Sumber gambar: - Arkham Intelligence- Mempool Space (transaski Bitcoin)