Bybit, una de las principales plataformas de intercambio de monedas virtuales, sufrió ayer un ataque informático y fueron sustraídos el equivalente a aproximadamente US$1500 millones en activos digitales. Se trata del hackeo más grande registrado en la industria de las criptomonedas desde la creación de Bitcoin en 2009. La cifra supera ampliamente los US$600 millones de los ataques a Poly Network, en 2021, y Ronin Bridge, en 2022, ambos considerados los más grandes hasta la fecha.

Según informó la propia plataforma (exchange), conocida por su volumen en transacciones y su amplia base de clientes, la brecha de seguridad ocurrió en una de sus billeteras frías de la criptomoneda Ethereum. Se trata de aquellas que no están conectadas a internet y se consideran más seguras que las billeteras calientes.

Sin embargo, en esta ocasión, un hacker aprovechó una transferencia desde la billetera fría a una billetera caliente, que estaba en línea y vulnerable, para tomar control total de los fondos que ascendieron a 401.000 Etherium.

El ataque se realizó en cuestión de horas. Según informó Bybit, se manipularon las claves privadas asociadas con la billetera fría de la plataforma. Al transferir los fondos a una billetera caliente, el hacker pudo liquidar rápidamente las criptomonedas, lo que dificultó la recuperación de los activos robados.

El CEO del Exchange, Ben Zhou, se pronunció sobre el incidente a través de un comunicado en las redes sociales, y aseguró que los fondos de los clientes no habían sido comprometidos y que el intercambio seguiría funcionando con normalidad. Según Zhou, la empresa tiene suficiente capital para cubrir la pérdida, incluso si no se logran recuperar los fondos sustraídos.

“Este es un momento muy difícil como ustedes saben cómo comunidad. Estoy aquí para darles todas las respuestas”, empezó diciendo Zhou, quien se encuentra en Singapur, en un streaming realizado dos horas después del ataque informático, que siguió en vivo LA NACION a través de la página web de la plataforma, y que se extendió durante una hora y 45 minutos.

“Estábamos haciendo una transferencia regular de una billetera fría a una caliente, esto típicamente lo hacemos una vez cada dos o tres semanas dependiendo el balance que tenemos en nuestra billetera caliente, cada vez que la billetera activa alcanza un punto de referencia que creemos que debe recargarse”, dijo al explicar en qué momento se produjo el ataque informático.

Bybit is Solvent even if this hack loss is not recovered, all of clients assets are 1 to 1 backed, we can cover the loss.

— Ben Zhou (@benbybit) February 21, 2025

Sostuvo en ese sentido que Bybit utiliza un sistema de multisignature para su billetera relacionada con código Etherium. Esto no es otra cosa que una herramienta de seguridad que requiere varias firmas para autorizar una transacción de criptomonedas. Zhou fue el último firmante. Dijo que hizo un doble chequeo y no notó nada raro.

“Nuestra billetera fría Etherium fue hackeada. La razón puede haber sido un problema UI [interfaz de usuario], que puede deberse a múltiples razones, pero quiero reasegurarles a nuestros clientes que su plata está a salvo”, señaló.

“La billetera fría multifirma Bybit ETH realizó una transferencia a nuestra billetera caliente. Parece que esta transacción específica fue enmascarada, todos los firmantes vieron la interfaz de usuario enmascarada que mostraba la dirección correcta y la URL era de @seguro . Sin embargo, el mensaje de la firma era cambiar la lógica del contrato inteligente de nuestra billetera fría ETH. Esto resultó en que Hacker tomó el control de la billetera fría de ETH específica que firmamos y transfirió todo el ETH en la billetera fría a esta dirección no identificada”, sostuvo en un mensaje en X.

Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…

— Ben Zhou (@benbybit) February 21, 2025

La plataforma está enfrentando una “corrida bancaria”. Actualmente está procesando 100 veces más solitudes de retiro que lo habitual. “No tenemos planes de cancelar retiros en este punto”, recalcó Zhou. Al respecto agregó que Bybit tiene US$20.000 millones en activos de clientes. “Hasta donde sabemos este puede ser el más grande hackeo en la historia de nuestra industria. Pero sepan que sus fondos están segundos”, reiteró.

“Bybit está aquí para quedarse. No vamos a retroceder después de este evento. Algunos clientes están preguntado si su plata fue afectada, y la respuesta es nuevamente no”, dijo.

La opinión de los especialistas argentinos

El especialista en Blockchain Fernando Molina analizó el hackeo en números para ponerlo en perspectiva. “Para entender la magnitud de lo Bybit: es 2.4 veces mayor que el que era hasta entonces el hackeo más grande de la historia”, indicó.

En ese sentido señaló que se convertiría en casi el 14% del total hackedo en la historia de cripto y que la billetera digital que posee el dinero es el 14º mayor poseedor de Etherium en este momento.

some of you saw I am wearing a WHOOP and asked what is my stress monitor look like for last night. Here is it, I didn’t get any single sleep, but actually looks not too bad, i guess i was too focused commanding all the meetings. Forgot to stress…I think it will come soon when i… pic.twitter.com/MWypWyUSR9

— Ben Zhou (@benbybit) February 22, 2025

“Se trató de un hackeo, cybercrimen vía código malicioso (como una inyección), sobre una capa de wallet offchain. No fue comprometida la seguridad de la Blockchain en sí, sino que se produjo el hackeo antes”, dijo a LA NACION Federico Nano, CEO y cofundador de la empresa fintech (tecnología aplicada al mundo financiero) B2FI.

“La Blockchain es segura, pero que toda aplicación, y especialmente las financieras, requieren controles y mecanismos de auditoria para mitigar riesgos de fraude o ataques, por manejar dinero de terceros. Lo que ocurrió no deja de ser algo similar a lo que pasa en el hackeo de cuentas de otras aplicaciones”, sostuvo Nano.

Manuel Beaudroit, cofundador y CEO de Belo, la billetera digital que permite manejar pesos argentinos y criptomonedas., señaló a este medio que es un tipo de hackeo en el que pudieron cambiar la interfaz y lo comparó con una suerte de fishing. “Vivimos en una industria en la que tenemos que estar teniendo muchísimo cuidado de lo que hacemos, si no sos presa fácil de hackers. El monto del hackeo es muy grande”, señaló.

Desde LEMON dijeron que estaban siguiendo las novedades del caso.

Quién es Lazarus Group

Según las primeras investigaciones el responsable del ataque informático fue Lazarus Group, un colectivo de hackers asociado al gobierno de Corea del Norte. El reconocido analista de blockchain ZachXBT presentó pruebas concluyentes sobre ello, incluyendo un análisis detallado de transacciones y conexiones entre billeteras digitales utilizadas en el ataque. A la vez, Arkham Intelligence, una plataforma de análisis de blockchain, utilizó esa información para hacer su propio análisis y ratificó su autoría.

BREAKING: BYBIT $1 BILLION HACK BOUNTY SOLVED BY ZACHXBT

At 19:09 UTC today, @zachxbt submitted definitive proof that this attack on Bybit was performed by the LAZARUS GROUP.

His submission included a detailed analysis of test transactions and connected wallets used ahead of… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

— Arkham (@arkham) February 21, 2025

Una de las principales características de este grupo es su capacidad para ejecutar ataques de gran envergadura, que incluyen sofisticados programas de malware y ransomware. A menudo emplean herramientas personalizadas para vulnerar las redes y sistemas de sus objetivos, y son expertos en el uso de vulnerabilidades en software ampliamente utilizado, como sistemas operativos y aplicaciones de empresas de seguridad. Además, se especializan en técnicas como el phishing, para ganar acceso a sistemas sensibles.

Lazarus Group fue responsable de algunos de los ataques más impactantes en la historia de la ciberseguridad, como el del 2016, cuando 2016, cuando lograron robar más de US$81millones del Banco Central de Bangladesh a través del sistema de pagos internacionales SWIFT.

La idea original era más ambiciosa: buscaban robarse US$1000 millones, y estuvieron a punto de lograrlo. El robo se detuvo parcialmente gracias a un error en la ejecución de una de las órdenes de transferencia. Los hackers intentaron enviar una gran cantidad de dinero a una cuenta en Sri Lanka, pero en el proceso cometieron un error tipográfico en el nombre de una de las cuentas. Esto generó una alerta en el sistema de control de la Reserva Federal de Nueva York, lo que provocó que el banco bloquease las transacciones sospechosas.

En los últimos años, el Lazarus Group centró sus esfuerzos en el robo de criptomonedas, una actividad que les ha permitido obtener grandes sumas de dinero de manera relativamente anónima. En 2022, el grupo fue responsable del hackeo al puente Ronin, una plataforma de finanzas descentralizadas (DeFi) utilizada por el popular juego Axie Infinity. Este robo resultó en la sustracción de más de 600 millones de dólares en criptomonedas, convirtiéndose en uno de los mayores robos de activos digitales de la historia

También llevó a cabo otros hackeos a plataformas de intercambio de criptomonedas como el hackeo a la Exchange de criptomonedas Coincheck, en 2018, que resultó en un robo de alrededor de US$500 millones en la criptomoneda NEM.

Su conexión con el gobierno Coreano

Lazarus Group funciona como una extensión de la agencia de inteligencia cibernética de Corea del Norte, la Reconnaissance General Bureau (RGB). Se formó en 2009 tras la fusión de varias organizaciones de inteligencia existentes. Dentro de la RGB, la Oficina 121 es la unidad principal dedicada a la guerra cibernética, conocida por llevar a cabo operaciones ofensivas de ciberespionaje y ciberdelincuencia.

En 2024, el FBI y la Agencia de Seguridad Nacional de EE.UU. emitieron un aviso conjunto destacando las actividades de espionaje cibernético asociadas con la RGB, enfocándose en la obtención de información sensible de entidades de defensa, aeroespaciales, nucleares y de ingeniería.

Además, la RGB controla la Green Pine Associated Corporation, una empresa norcoreana dedicada al comercio de armas convencionales.

Un comunicado de prensa del Departamento de Justicia de Estados Unidos, de mayo de 2024, alertó sobre cómo Corea del Norte colocó a empleados cualificados, sobre todo desarrolladores de software en empresas estadounidenses. “Los norcoreanos usan identidades robadas o prestadas de ciudadanos estadounidenses para hacerse pasar por trabajadores nacionales, infiltrarse en los sistemas de empresas estadounidenses y recaudar ingresos para Corea del Norte”, señaló el organismo.

Según el recuento que pudo hacer este medio, el FMI emitió al menos cuatro comunicados de prensa que vinculan Lazarus Group con hackeos.

Robo de US$41 millones de Stake.com: El 6 de septiembre de 2023, el FBI identificó al Lazarus Group como responsable del robo de aproximadamente $41 millones en criptomonedas de Stake.com, una plataforma de apuestas en línea.
Robo de US$100 millones del puente Horizon de Harmony: El 6 de febrero de 2023, el FBI confirmó que el Lazarus Group fue responsable del robo de US$100 millones en criptomonedas del puente Horizon de Harmony, ocurrido el 24 de junio de 2022.
Cargos contra Park Jin Hyok: El 6 de septiembre de 2018, el FBI acusó a Park Jin Hyok, un programador norcoreano respaldado por el régimen, de conspiración para llevar a cabo múltiples ciberataques e intrusiones, incluyendo el ransomware WannaCry 2.0 y el ataque destructivo a Sony Pictures.
Cargos contra los fundadores de Tornado Cash: El 23 de agosto de 2023, el FBI informó sobre los cargos contra Roman Storm y Roman Semenov, fundadores de Tornado Cash, por lavado de dinero y violaciones de sanciones, facilitando el lavado de más de US$1000 millones en ganancias criminales, incluyendo fondos robados por el Lazarus Group.

Un informe del Consejo de Seguridad de Naciones Unidas, citado por CoinDesk, calcula que los norcoreanos robaron unos US$3000 millones en criptomonedas desde 2017 hasta 2024. A esto habría que sumarle los US$1500 millones del hackeo a Bybit.

La periodista Anna Fifield en su libro El gran sucesor revela que fue Kim Jong-un, nieto del fundador de la dinastía de dictadores, quien decidió en 2009, cuando heredó las riendas del país, que el régimen le podía sacar mucho partido al ciberespacio. “Los estudiantes que muestran posibles aptitudes [para la informática], algunos de tan solo 11 años, son enviados a escuelas especiales y luego a la Universidad de Automatización de Pyongyang”, donde “a lo largo de cinco años se les enseña a hackear sistemas y a crear virus informáticos”, escribió Fifield.

Quién se robó los US$1500 millones: el grupo detrás del mayor hackeo en la historia de las criptomonedas

La opinión de los especialistas argentinos

Quién es Lazarus Group

Su conexión con el gobierno Coreano

En Illinois: así es el nuevo programa para comerciantes sin estatus legal en caso de deportación

Nueva York paga a migrantes por detenciones irregulares: cómo es el trámite para reclamar los US$10.000

El trigo está en carrera y tomó velocidad: no conviene detenerlo

Pacto entre Israel y Hamas: quiénes son los seis rehenes israelíes incluidos en la séptima liberación

Desde el sábado 22 de febrero, el ramal Tigre de la línea Mitre estará suspendido por más de una semana

Estos son los tres modelos de órdenes judiciales y administrativas que el ICE puede presentar en un operativo

Billeteras digitales: cuál paga más por el saldo en cuenta tras la baja de tasas

Robó dinero y la Policía lo arrestó cuando fue a jugar a la quiniela

En Illinois: así es el nuevo programa para comerciantes sin estatus legal en caso de deportación

Adrien Brody recrea en la multinominada El Brutalista el viaje de sus abuelos y su mamá escapando de Hungría