Noticias
Hackeo de $1.5B en Bybit explicado: cómo los hackers accedieron a los monederos fríos. ¿Está comprometido Ethereum?
token_sale
token_sale

Únete a la venta de tokens de Yellow Network y asegura tu lugar

Unirse Ahora
token_sale

Hackeo de $1.5B en Bybit explicado: cómo los hackers accedieron a los monederos fríos. ¿Está comprometido Ethereum?

Hackeo de $1.5B en Bybit explicado: cómo los hackers accedieron a los monederos fríos. ¿Está comprometido Ethereum?

En el mayor robo de criptomonedas hasta la fecha, la bolsa con sede en Seychelles, Bybit perdió aproximadamente $1.5 mil millones en Ethereum (ETH) el 21 de febrero de 2025, debido a un sofisticado hackeo por parte de hackers vinculados a Corea del Norte.

La brecha, confirmada por el CEO de Bybit, Ben Zhou, marca una escalada significativa en los delitos cibernéticos dirigidos a la industria cripto y plantea preguntas críticas sobre la seguridad de los activos digitales.

Intentemos hacer un análisis en profundidad del hackeo, los métodos técnicos utilizados, el papel del análisis de blockchain, la implicación del Grupo Lazarus y las implicaciones más amplias para el ecosistema de criptomonedas.

Bybit: un jugador importante en el mercado de criptomonedas

Bybit, fundada en 2018 y con sede en Seychelles, se ha establecido como una plataforma de intercambio de criptomonedas líder, conocida por su alto volumen de transacciones y su amplia gama de ofertas, incluyendo la compra y venta de criptomonedas a precios de mercado actuales, la especulación sobre movimientos de precios futuros con apalancamiento, y la obtención de recompensas al bloquear fondos para apoyar operaciones de blockchain.

La interfaz fácil de usar de la plataforma y su reputación por medidas de seguridad robustas, como monederos fríos con múltiples firmas (multi-sig) y auditorías de seguridad regulares, atrajeron a una base de usuarios global. Esta reputación hizo que el hackeo fuera particularmente alarmante, ya que expuso vulnerabilidades incluso en las plataformas más confiables.

Descubrimiento del hackeo

El hackeo fue detectado por primera vez por el analista en cadena ZachXBT, quien señaló salidas sospechosas que totalizaban $1.46 mil millones desde los monederos de Bybit a las 10:20 a.m. ET del 21 de febrero de 2025.

Estas salidas, que involucraban 401,347 ETH, generaron preocupaciones inmediatas sobre una posible brecha de seguridad. En 30 minutos, el CEO de Bybit, Ben Zhou, confirmó la brecha en una publicación en X (anteriormente Twitter), atribuyendo el ataque a una técnica de transacción "enmascarada" que explotó el monedero frío con múltiples firmas de la plataforma durante una transferencia rutinaria a un monedero caliente.

Comprendiendo los monederos fríos con múltiples firmas y su seguridad

¿Qué es un Monedero Frío con Múltiples Firmas?

Un monedero frío con múltiples firmas (multi-sig) es un tipo de almacenamiento de criptomonedas diseñado para mejorar la seguridad mediante el requerimiento de múltiples claves privadas para autorizar una transacción.

A diferencia de los monederos de una sola clave, que dependen de una clave y son más vulnerables al robo, los monederos multi-sig distribuyen el control entre varias partes o dispositivos. Por ejemplo, un monedero multi-sig de 2 de 3 requiere dos de tres firmantes designados para aprobar una transacción.

Por otro lado, los monederos fríos son soluciones de almacenamiento fuera de línea, lo que significa que no están conectados a internet, reduciendo el riesgo de ataques en línea como hackeos o phishing.

La configuración del monedero frío multi-sig de Bybit requería aprobaciones de múltiples firmantes, una práctica estándar para proteger grandes cantidades de criptomonedas.

El uso de monederos fríos multi-sig por parte de Bybit estaba destinado a proteger sus importantes tenencias de ETH, haciendo que el hackeo fuera particularmente sorprendente y resaltando la sofisticación del ataque.

Cómo se ejecutó el hackeo: detalles técnicos

Los atacantes eludieron la seguridad multi-sig de Bybit a través de una combinación de ingeniería social y manipulación técnica avanzada.

Aquí hay un desglose detallado del ataque:

1. Acceso inicial a través de ingeniería social

Los hackers, que se cree son parte del Grupo Lazarus de Corea del Norte, probablemente obtuvieron acceso inicial a través de técnicas avanzadas de phishing, como:

  • Correos electrónicos de spear-phishing: Correos electrónicos dirigidos diseñados para engañar a empleados o firmantes para que revelen credenciales o hagan clic en enlaces maliciosos.
  • Sitios web falsos: Sitios de phishing que imitan interfaces legítimas de Bybit para capturar claves privadas o frases semilla.
  • Infección por malware: Despliegue de malware para comprometer los sistemas o dispositivos utilizados por los firmantes.

Estas tácticas de ingeniería social explotaron el error humano, una vulnerabilidad crítica incluso en los sistemas más seguros.

2. Manipulación de transacciones a través de una interfaz enmascarada

Durante una transferencia rutinaria desde el monedero frío multi-sig de ETH de Bybit a un monedero caliente (un monedero en línea para transacciones rápidas), los atacantes ejecutaron su explotación. Los hackers alteraron la interfaz de firma, el componente de cara al usuario donde los firmantes aprueban transacciones. Esta interfaz fue manipulada para mostrar una dirección de transacción legítima mientras incrustaban código malicioso en la lógica subyacente del contrato inteligente.

Los firmantes, sin estar conscientes de la manipulación, aprobaron lo que parecía ser una transferencia rutinaria. Sin embargo, la transacción aprobada contenía un código malicioso que alteró los mecanismos de control del monedero.

3. Alteración de la lógica del contrato inteligente

El código malicioso incrustado en la transacción explotó vulnerabilidades en el proceso de aprobación de transacciones.

La transacción aprobada alteró la lógica del contrato inteligente, otorgando a los atacantes el control sobre el monedero. Esto les permitió transferir 401,347 ETH a una dirección no identificada bajo su control.

El ataque no comprometió la blockchain de Ethereum ni sus contratos inteligentes, sino que explotó el proceso interno de Bybit para validar y aprobar transacciones.

4. Lavado y dispersión de fondos

Tras obtener el control de los fondos, los atacantes dispersaron rápidamente el ETH robado entre múltiples monederos para ofuscar su rastro.

El ETH se dividió en incrementos de 1,000 ETH y se envió a más de 40 monederos diferentes.

Los atacantes convirtieron el ETH en otras criptomonedas o fiat a través de intercambios descentralizados (DEX), que carecen de los requisitos de conocimiento de tu cliente (KYC) de los intercambios centralizados, lo que dificulta congelar o recuperar los fondos.

Análisis de blockchain y rastreo de fondos

Las firmas de análisis de blockchain jugaron un papel crucial en el rastreo de los fondos robados, a pesar de los esfuerzos de los atacantes por ocultar sus movimientos.

Firmas y herramientas clave involucradas incluyen:

  • Elliptic: Una firma de análisis de blockchain que rastreó el ETH robado mientras se dispersaba y liquidaba. El software de Elliptic analiza patrones de transacciones y direcciones de monederos para identificar actividad sospechosa.
  • Arkham Intelligence: Otra firma de análisis que proporcionó rastreo en tiempo real de los fondos, identificando monederos y flujos de transacciones asociados.
  • MistTrack de Slow Mist: Una herramienta forense de blockchain utilizada para mapear el movimiento del ETH robado a través de la red Ethereum. MistTrack marcó transacciones de prueba y patrones de monederos indicativos de técnica del Grupo Lazarus.

A pesar de estos esfuerzos, la velocidad y escala de la liquidación hicieron que la recuperación fuera desafiante.

El uso de DEX y mezcladores por parte de los atacantes (herramientas que mezclan criptomonedas para ocultar su origen) complicó aún más el proceso.

El Grupo Lazarus: los culpables detrás del hackeo

¿Quién es el Grupo Lazarus?

El Grupo Lazarus es un colectivo de hackers patrocinado por el estado de Corea del Norte, conocido por orquestar delitos cibernéticos de alto perfil, incluidos robos de criptomonedas, ataques de ransomware y espionaje.

Se cree que el grupo opera bajo la dirección de la Oficina General de Reconocimiento de Corea del Norte, con el objetivo principal de generar ingresos para el régimen.

Evidencia que vincula a Lazarus con el hackeo de Bybit

Analistas de blockchain, incluyendo a ZachXBT, conectaron el hackeo de Bybit con explotaciones anteriores del Grupo Lazarus sobre la base de varios indicadores.

  • Transacciones de prueba: Pequeñas transferencias enviadas antes del ataque principal para probar la funcionalidad del monedero, una táctica distintiva de Lazarus.
  • Monederos asociados: Monederos utilizados en el hackeo de Bybit se vincularon con aquellos involucrados en hackeos anteriores, como la explotación de Phemex.
  • Gráficos forenses y análisis de tiempos: Patrones en la cronología de transacciones y actividad de monederos coincidieron con comportamientos conocidos de Lazarus.

Historial del Grupo Lazarus

El Grupo Lazarus tiene un largo historial de robos de criptomonedas, con ejemplos notables incluyendo:

  • Hackeo de la Red Ronin (2022): Robaron $600 millones en ETH y USDC de la plataforma de juegos Axie Infinity.
  • Hackeo de Phemex (2024): Vinculado con el hackeo de Bybit a través de técnicas y patrones de monederos similares.
  • Total de 2024: Se estima que robaron $1.34 mil millones a través de 47 hackeos, representando el 61% de toda la actividad cripto ilícita ese año.

Las técnicas avanzadas del grupo, como exploits de día cero (vulnerabilidades previamente desconocidas) e ingeniería social sofisticada, los convierten en una amenaza formidable para la industria criptográfica.

Implicaciones para Ethereum y el ecosistema cripto

La seguridad de Ethereum

A pesar de la magnitud del hackeo, Ethereum en sí no fue comprometido.

La vulnerabilidad estaba en los procesos internos de Bybit, no en la blockchain de Ethereum ni en sus contratos inteligentes.

Aquí está el porqué.

La blockchain de Ethereum, un libro mayor descentralizado de transacciones, permaneció segura. El ataque no explotó fallas en el mecanismo de consenso de la blockchain (prueba de participación) ni en su sistema de contratos inteligentes.

La brecha surgió de aprobaciones de transacciones manipuladas, destacando los riesgos de procesos centrados en humanos en la gestión de criptomonedas.

Si bien el código del contrato inteligente en sí no fue hackeado, la manipulación del proceso de aprobación a través de una interfaz enmascarada plantea preocupaciones sobre la seguridad de las interfaces de usuario y los mecanismos de firma de transacciones en monederos multi-sig.

Impacto más amplio en el mercado

El hackeo tuvo efectos inmediatos y de efecto dominó en el mercado de criptomonedas.

Los precios del ETH cayeron más del 3% tras la confirmación del hackeo, reflejando una volatilidad incrementada.

La brecha coincidió con ETHDenver, una de las conferencias más grandes del ecosistema de Ethereum, proyectando una sombra bajista sobre un evento típicamente optimista para ETH.

El incidente erosionó la confianza en los intercambios centralizados, lo que llevó a los usuarios a cuestionar la seguridad de sus activos y aumentó el interés en soluciones de finanzas descentralizadas (DeFi).

Y, por supuesto, el mero hecho de que el mayor hackeo haya ocurrido durante el mercado alcista no debe ser subestimado.

Respuesta y esfuerzos de recuperación de Bybit

La respuesta rápida de Bybit ayudó a mitigar el pánico y demostró resiliencia operativa. Contenido: La plataforma de intercambio procesó más de 580,000 solicitudes de retiro después del ataque, asegurando que los usuarios pudieran acceder a sus fondos.

Bybit también aseguró préstamos puente para cubrir pérdidas, tranquilizando a los usuarios sobre su solvencia. La plataforma lanzó un programa ofreciendo hasta el 10% de los fondos recuperados a hackers éticos que ayuden a recuperar el ETH robado.

Estas medidas, aunque proactivas, resaltan los desafíos de recuperar fondos en ataques de tal magnitud, especialmente dado el uso de técnicas de lavado por parte de los atacantes.

Medidas Preventivas para el Futuro

Para evitar ataques similares, los expertos recomiendan un conjunto integral de medidas de seguridad basadas en las mejores prácticas de la industria y conocimientos derivados del incidente de Bybit.

1. Autenticación Multifactor (MFA)

Requerir múltiples capas de verificación para la aprobación de transacciones, como:

  • Autenticación biométrica: Huella dactilar o reconocimiento facial.
  • Tokens de hardware: Dispositivos físicos que generan códigos de un solo uso.
  • Contraseñas de un solo uso basadas en tiempo (TOTP): Aplicaciones como Google Authenticator para códigos temporales.

2. Canales de Comunicación Seguros

Usar canales encriptados y verificados para todas las comunicaciones relacionadas con transacciones, tales como:

  • Email encriptado de extremo a extremo: Herramientas como ProtonMail o Signal para mensajería segura.
  • Portales seguros dedicados: Sistemas internos para la aprobación de transacciones, aislados de amenazas externas.

3. Auditorías de Seguridad Regulares

Realizar evaluaciones frecuentes y pruebas de penetración para identificar vulnerabilidades:

  • Auditorías de terceros: Involucrar a empresas reputadas para revisar los protocolos de seguridad.
  • Ataques simulados: Probar los sistemas frente a escenarios de phishing, malware y ingeniería social.

4. Capacitación de Empleados

Educar al personal en el reconocimiento de amenazas de ingeniería social, tales como:

  • Conciencia sobre spear-phishing: Capacitar a los empleados para identificar correos electrónicos o enlaces sospechosos.
  • Higiene de credenciales: Evitar reutilizar contraseñas o almacenar claves de forma insegura.

5. Gestión de Activos Diversificada

Distribuir fondos en múltiples billeteras para limitar la exposición:

  • Balance de billeteras frías y calientes: Mantener la mayoría de los fondos en almacenamiento en frío, con cantidades mínimas en billeteras calientes para operaciones diarias.
  • Distribución multi-sig: Usar diferentes configuraciones multi-sig para diferentes grupos de activos.

6. Sistemas de Detección de Anomalías

Implementar herramientas para detectar y alertar sobre patrones de transacción inusuales, tales como:

  • Modelos de aprendizaje automático: Identificar desviaciones de la actividad normal, como grandes transferencias en momentos inusuales.
  • Alertas en tiempo real: Notificar a los equipos de seguridad sobre salidas sospechosas.

7. Mantenerse Actualizado sobre Amenazas

Actualizar continuamente las medidas de seguridad para contrarrestar amenazas cibernéticas emergentes:

  • Feeds de inteligencia de amenazas: Suscribirse a servicios que rastrean nuevos vectores de ataque.
  • Defensas contra exploits de día cero: Implementar parches y actualizaciones rápidamente para abordar vulnerabilidades recién descubiertas.

Estas medidas son cruciales, especialmente dadas las técnicas avanzadas del Grupo Lazarus, que incluyen exploits de día cero, ingeniería social sofisticada y el rápido lavado de fondos.

Conclusión: Lecciones para la Industria Cripto

El hackeo a Bybit, el mayor robo de criptomonedas de la historia, subraya los persistentes desafíos de seguridad que enfrenta la industria, particularmente de actores patrocinados por estados como el Grupo Lazarus.

Aunque Ethereum sigue siendo seguro, el incidente destaca la necesidad de procesos internos robustos, medidas avanzadas de ciberseguridad y vigilancia continua para proteger los activos digitales.

A medida que evoluciona el ecosistema de criptomonedas, los intercambios deben priorizar la confianza del usuario y la resiliencia operativa para navegar efectivamente en dichas crisis.

La brecha de Bybit sirve como un recordatorio vívido de que incluso las plataformas más seguras son vulnerables al error humano y a ataques sofisticados, enfatizando la importancia de la seguridad en capas y la colaboración a nivel industrial para combatir el cibercrimen.

Descargo de responsabilidad: La información proporcionada en este artículo es solo para fines educativos y no debe considerarse asesoramiento financiero o legal. Siempre realice su propia investigación o consulte a un profesional al tratar con activos de criptomonedas.
Últimas noticias
Ver todas las noticias
Destacados del Mercado Diario de Criptomonedas: Pi Avanza Mientras PARSIQ y BOB Surfean la Ola
hace 4 horas
El mercado de criptomonedas ha visto un aumento en la actividad hoy, con PI tomando protagonismo tras un importante anuncio de la red. Mientras tanto, Parsiq está en auge con su transición a una red
El valor de Cardano cae un 22% mientras los inversores a largo plazo se mantienen firmes
hace 5 horas
Cardano ha experimentado una caída precipitada del 22% en su valor durante la última semana, alineándose con la turbulencia más amplia del mercado de criptomonedas. El activo digital, que ocupa el o
Banana Token sube un 44% a pesar de las preocupaciones sobre la venta de inversores
hace 7 horas
La criptomoneda Banana (BANANA) ha aumentado un 44% en valor durante el último día, alcanzando los $15.95 mientras intenta romper un patrón de cuña descendente. El movimiento de precio significativo
Noticias Relacionadas
Pérdida de $1.46 mil millones de Bybit ante hackers norcoreanos establece récord histórico
Feb 22, 2025
La empresa de análisis blockchain Arkham Intelligence, con conocimientos del investigador en cadena ZachXBT, ha atribuido el hackeo de $1.46 mil millones de Bybit al Grupo Lazarus de Corea del Norte.
El épico hackeo de $1.5 mil millones en Bybit enciende el debate sobre la seguridad de la arquitectura Ethereum
Feb 24, 2025
Un devastador hackeo al exchange de criptomonedas Bybit ha reavivado las preocupaciones sobre la seguridad del blockchain. El Grupo Lazarus de Corea del Norte extrajo con éxito activos digitales por v
Hacker de Bybit blanquea $239M en Ethereum robado, $148M aún en riesgo
Mar 04, 2025
Un hacker de criptomonedas ha procesado 96,500 ETH robados del intercambio Bybit, según un análisis de blockchain. La rápida operación de blanqueo ocurrió en las últimas 24 horas. El analista de blo
Safe Wallet reconoce que su violación de seguridad jugó un papel en el hackeo de $1.5bn a Bybit
Feb 27, 2025
La compañía de seguridad de criptomonedas Safe Wallet ha confirmado que su infraestructura fue explotada durante el reciente $1.5bn Bybit hack. La violación se originó a partir de una máquina de desar
Bybit sufre un hackeo de $1.4 mil millones en su cartera fría en un sofisticado esquema de phishing
Feb 21, 2025
El intercambio de criptomonedas Bybit ha sido víctima de uno de los mayores robos de activos digitales de la historia. La brecha resultó en pérdidas de aproximadamente $1.4 mil millones en tokens de E
Artículos Relacionados
Las 10 mayores violaciones de seguridad en intercambios de criptomonedas en los últimos años
Sep 20, 2024
En las primeras horas del 20 de septiembre, el intercambio de criptomonedas BingX de Singapur confirmó que había habido una violación de seguridad. El incidente resultó en una "pérdida menor de activo
5 Principales Maneras de Proteger tu Cripto Billetera contra Hackers
Dec 31, 2024
La mayoría de los principiantes en criptomonedas se apresuran a comprar algunos tokens y no les importa mucho dónde guardarlos. Eso podría ser un error crucial. Descuidar la seguridad puede costarte c
Las 5 mejores maneras de prevenir los ataques de frontrunning en blockchain que deberías conocer
Jan 11, 2025
De todos los peligros que enfrenta este ecosistema descentralizado, los ataques de frontrunning son de los peores y más urgentes. ¿Qué son los ataques de frontrunning y cómo protegerse de ellos? Ahora
Seguridad DEX: Protegiendo a los usuarios en un mundo descentralizado
Jan 12, 2025
Los intercambios descentralizados (DEXs) han surgido como un pilar del ecosistema de criptomonedas, ofreciendo a los usuarios un control sin precedentes sobre sus activos. Pero, ¿qué tan seguros son r
Cómo Encontrar Bitcoins Perdidos: Una Guía Completa
Sep 26, 2024
¿Existe una manera de recuperar tus Bitcoins si los pierdes? Encontrarás toda la información que necesitas en este artículo. Hay un límite natural al suministro de Bitcoin, la innovadora criptomoneda