El primer gran incidente de hacking después de la implementación de la Ley de Protección del Usuario, la intensidad de las sanciones del intercambio se convierte en el foco.

Fuente: DigitalToday Título original: El primer gran incidente de hackeo tras la entrada en vigor de la Ley de Protección del Usuario… Atención a la 'intensidad de las sanciones' de Upbit Enlace original:

Resumen del Evento

La bolsa de valores sufrió su primer ataque masivo de hackers desde la implementación de la Ley de Protección al Usuario en julio. La bolsa descubrió a las 4:42 a.m. del día 27 que su billetera de la cadena Solana había transferido aproximadamente 44.5 mil millones de wones en activos digitales a billeteras externas no autorizadas. Los activos filtrados involucraban 24 tipos de monedas, incluyendo Solana, y un total de 165 billeteras. Después de detectar transacciones anómalas, la bolsa suspendió los depósitos y retiros de activos de tipo Solana a las 5:27 a.m., y luego, a las 8:55 a.m., interrumpió todos los servicios de depósitos y retiros de activos digitales.

Las autoridades de regulación financiera, las agencias de ciberseguridad y el departamento de delitos cibernéticos de la policía iniciaron de inmediato una investigación, centrada en examinar el proceso de la invasión de los hackers, la magnitud de las pérdidas y la ejecución de los controles internos y las obligaciones de seguridad.

La demora en la divulgación de información genera dudas

El problema clave es que hay una gran diferencia de tiempo entre el momento en que el intercambio detectó signos de un hacker y el momento en que se publicaron oficialmente los hechos. El intercambio inicialmente solo emitió un anuncio con los motivos de “mantenimiento de red” y “revisión de servidores de emergencia”, hasta que a las 12:33 del mediodía se publicó una declaración formal que incluía la expresión “hacker”. Desde el descubrimiento hasta la publicación pasaron aproximadamente 8 horas.

Es importante señalar que esa mañana a las 9 se celebró la conferencia de prensa sobre el intercambio de acciones entre la empresa operadora del intercambio y una gran empresa de internet. El hecho del hackeo se hizo público solo después de esta importante reunión, lo que generó dudas sobre si se había ocultado el incidente antes del anuncio de la fusión.

Marco regulatorio y perspectivas de sanciones

La industria considera que este incidente podría convertirse en el primer caso de multa y sanción severa desde la implementación de la ley de protección al usuario. Esta normativa exige que los operadores de activos digitales mantengan más del 80% de los activos de los usuarios en billeteras frías y que se aseguren o establezcan reservas para hacer frente a hackers y fallos del sistema. Especialmente en el caso de que se suspendan los depósitos y retiros debido a riesgos de hackers o fallos del sistema, se debe informar a los usuarios sobre la razón y reportarlo de inmediato a la comisión financiera.

Los expertos legales señalan que, en comparación con el pasado, cuando faltaban bases para sanciones, ahora existe una clara base legal para la responsabilidad. El responsable de la Asociación de Derecho Blockchain declaró: “Este es el contenido central de la ley de protección al usuario: casos de fracaso en la protección de los usuarios, hay razones suficientes para discutir la responsabilidad legal, la concentración excesiva de activos en bolsas específicas en el país sigue siendo un factor de riesgo.”

Sin embargo, la ley de protección al usuario no establece directamente la “obligación de informar y divulgar inmediatamente” sobre hackers y accidentes del sistema, dejando espacio para la interpretación. Las enmiendas relacionadas se presentaron en enero de este año, pero han estado estancadas en el Comité de Finanzas y Economía del Congreso durante más de un año. Las autoridades de regulación financiera también reconocen las limitaciones de la regulación existente, indicando que “existe una regulación sobre la obligación de informar de inmediato las razones para suspender los depósitos y retiros, pero si se puede ampliar para aplicarla a la obligación de divulgación relacionada con los hackers y accidentes del sistema necesita más aclaración.”

Regulación en tres frentes

El momento en que ocurrió el accidente es desfavorable para la severidad de las sanciones. En su reunión regular de septiembre, el Comité Financiero impuso por primera vez multas por transacciones injustas basadas en la Ley de Protección del Usuario por casos de manipulación masiva y difusión de información falsa, y remitió a las personas involucradas a la fiscalía. Esta es la primera sanción desde la implementación de la ley hace dos meses.

El mes pasado, la agencia de inteligencia financiera impuso una multa de 35.2 mil millones de wones surcoreanos a la empresa operadora del intercambio por violar ciertas leyes de información financiera, estableciendo un récord histórico. La multa está relacionada con el incumplimiento de las obligaciones de prevención de lavado de dinero, incluyendo la verificación de clientes, restricciones en las transacciones y reportes de transacciones sospechosas.

La industria ha notado que este incidente se convertirá en un precedente para las sanciones por accidentes de seguridad. Las personas involucradas han declarado: “La manipulación, la lucha contra el lavado de dinero y la seguridad son tres áreas de regulación que se han convertido en riesgos reales para la propiedad de los activos digitales.”

Factores positivos

Es digno de reconocimiento que este intercambio ha mantenido una proporción de custodia de monederos fríos superior al 90%, por encima del estándar legal del 80%. Las pérdidas por filtración provienen enteramente de monederos calientes, y la mayoría de los depósitos de los usuarios están protegidos. Este intercambio ha declarado que compensará todas las pérdidas utilizando activos y reservas de la empresa.