El viernes 21 de febrero, el mundo de las criptomonedas vivió uno de los momentos más críticos de su historia: Bybit, una de las plataformas más grandes del mundo, sufrió un hackeo sin precedentes.
Los atacantes de Bybit lograron sustraer más de 401.000 ETH, con un valor estimado en unos $1.400 millones de dólares al momento del robo. Los expertos en ciberseguridad han subrayado que este ataque combinó ingeniería social, manipulación de interfaces y explotación de vulnerabilidades en los sistemas de seguridad.
El incidente ocurrió durante una transferencia de rutina entre una cold wallet multifirma de Ethereum y una hot wallet. Aunque Bybit aseguró que los fondos de los clientes están seguros y que la plataforma puede cubrir la pérdida, el ataque ha generado un terremoto en el mercado cripto, cuestionando nuevamente la seguridad de las plataformas centralizadas.
Un ataque sofisticado: Cómo los hackers burlaron el sistema de seguridad de Bybit?
El hackeo de Bybit no fue un ataque convencional. Según los informes, los atacantes usaron una combinación de técnicas avanzadas de ingeniería social y manipulación de interfaces para infiltrarse y engañar los sistemas de la plataforma. La clave del ataque fue la billetera fría multifirma de Ethereum, un sistema diseñado para ofrecer máxima seguridad, ya que requiere múltiples firmas para autorizar una transacción.
No obstante, los hackers lograron diseñar una interfaz falsa que replicaba perfectamente la plataforma de administración de billeteras seguras utilizada por Bybit. Esta interfaz mostraba direcciones y URLs verificadas, lo que hizo que las transacciones parecieran legítimas. Sin embargo, tras esta capa de autenticidad, los atacantes alteraron la lógica del contrato inteligente subyacente.
De esta manera, cuando los firmantes autorizados aprobaron la transacción, creyeron estar realizando una operación rutinaria. Sin embargo, el código malicioso modificado permitió a los hackers desviar los fondos hacia una billetera desconocida. Este método de ataque, conocido como «masking» o enmascaramiento, fue tan efectivo que los sistemas de seguridad de Bybit no detectaron anomalías hasta que ya era demasiado tarde.
“La billetera fría multisig de ETH de Bybit acaba de realizar una transferencia a nuestra billetera caliente hace aproximadamente 1 hora. Parece que esta transacción específica fue manipulada, todos los firmantes vieron la interfaz de usuario enmascarada que mostraba la dirección correcta y la URL era de Safe”, informó Ben Zhou, CEO de la plataforma.
La billetera afectada era una «Safe», un sistema multifirma ampliamente utilizado por proyectos Web3 y DAOs debido a su alta seguridad. El diseño multifirma hace que estas billeteras sean particularmente resistentes a los ataques. Por lo tanto, el éxito del ataque contra Bybit es especialmente preocupante.
COMPRA BITCOINEl destino de los fondos robados
Una vez que los fondos fueron transferidos a la billetera desconocida, los hackers actuaron con rapidez para desconectar el rastro. Los primeros análisis forenses revelaron que los atacantes dividieron los 401.000 ETH en varias direcciones, utilizando redes descentralizadas y protocolos de privacidad para ocultar su origen.
Según informes de firmas como Arkham Intelligence, los fondos se vendieron rápidamente en exchanges descentralizados (DEX). Además, los hackers utilizaron técnicas de mezclado de criptomonedas para ocultar su procedencia.
Bybit ha asegurado que está trabajando con empresas de seguridad blockchain y con las autoridades para rastrear los movimientos de los fondos, pero hasta el momento, no se han reportado avances significativos en su recuperación. Solo Tether, el emisor de la stablecoin USDT, informó sobre el congelamiento de $181.000 dólares vinculados al hackeo. Paolo Ardoino, CEO de la compañía, dijo que aunque esta cifra no era tan significativa, considerando la magnitud del hackeo, se estaba haciendo todo lo posible para recuperar los fondos robados.
Además, Zhou aseguró que ha estado recibiendo gran apoyo de parte de la comunidad cripto en general y reafirmó que los retiros no se han pausado. “Desde el hackeo (hace 10 horas), Bybit ha experimentado la mayor cantidad de retiros que hemos visto. Hemos tenido un número total de más de 350k solicitudes de retiros”, informó, asegurando que los usuarios han podido retirar cualquier cantidad sin experimentar demoras en sus solicitudes.
Lazarus Group detrás del hackeo a Bybit
El ataque a Bybit ha sido atribuido al Lazarus Group, un grupo de hackers patrocinado por el gobierno norcoreano, conocido por sus operaciones de ciberespionaje avanzadas y ataques financieros. El experto en análisis de blockchain y ciberseguridad ZACHXBT presentó un informe detallado que apunta a este grupo de ciberdelincuentes como los responsables del ataque al exchange, demostrando una vez más su capacidad para ejecutar operaciones altamente sofisticadas.
El hackeo de Bybit ha sacudido los cimientos de la industria de las criptomonedas, superando al sufrido por la plataforma Mt Gox en 2014 en valor nominal, y planteando dudas sobre la seguridad de los sistemas de encriptación, que se consideran infalibles en condiciones normales. Aunque Bybit ha garantizado que los fondos de los clientes no fueron comprometidos y que la plataforma puede cubrir la pérdida, el incidente ha generado una oleada de retiros masivos y una crisis de confianza.
COMPRA BITCOINEste hackeo también ha puesto en relieve la sofisticación creciente de los cibercriminales, quienes están aprovechando las vulnerabilidades en los sistemas de firma y las interfaces de usuario. Expertos en seguridad han advertido que este tipo de ataques podría ser el nuevo estándar para los grupos de hackers, especialmente aquellos con respaldo estatal, como el Lazarus Group, al que se ha vinculado este incidente.
La inversión en criptoactivos no está totalmente regulada, puede no ser adecuada para inversores minoristas debido a su alta volatilidad y existe riesgo de perder la totalidad de los importes invertidos.
