La plataforma de intercambio de criptomonedas Bybit ha sido víctima del mayor robo en la historia del sector, con una pérdida estimada de casi 1.500 millones de dólares en activos digitales. Investigadores de la industria señalan al grupo de hackers norcoreano Lazarus como el presunto responsable del ataque, , según análisis publicados por Bloomberg y la firma de seguridad blockchain Arkham Intelligence.
Un monedero de Ethereum comprometido
Según informó Ben Zhou, director ejecutivo de Bybit, el ataque tuvo lugar cuando un hacker tomó el control de uno de los monederos fríos de Ethereum de la compañía. En una serie de transacciones sospechosas, se drenaron aproximadamente 1.460 millones de dólares en activos, de acuerdo con el análisis del especialista en cadenas de bloques ZachXBT en Telegram.
Por su parte, la firma de análisis Arkham Intelligence confirmó la salida de unos 1.400 millones de dólares en fondos desde Bybit, señalando que los activos han comenzado a moverse a nuevas direcciones, donde están siendo vendidos. La firma Elliptic destacó que este ataque supera el robo de 611 millones de dólares sufrido por Poly Network en 2021, convirtiéndolo en el mayor en la historia del sector.
Respuesta de Bybit y medidas adoptadas
Tras el ataque, Zhou realizó una transmisión en la red social X para calmar a los clientes y asegurar que los retiros siguen operativos. Informó que Bybit ha obtenido préstamos puente con socios y ha asegurado aproximadamente el 80% de los fondos necesarios para cubrir la pérdida. Además, la empresa emprenderá acciones legales para intentar recuperar los activos robados.
Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…
— Ben Zhou (@benbybit) February 21, 2025
Zhou indicó que el 70% de las solicitudes de retiro ya se han procesado, pero algunos usuarios podrían experimentar demoras debido a la congestión de la red. También aseguró que la plataforma no está adquiriendo Ethereum para reponer los activos sustraídos.
Impacto en el mercado y en Bybit
Bybit, fundada en 2018 y con sede en Dubái, es una de las principales plataformas de criptomonedas, manejando un volumen de operaciones diario superior a los 36.000 millones de dólares. Antes del hackeo, la plataforma contaba con unos 16.200 millones de dólares en activos, según datos de CoinMarketCap. La cantidad sustraída representa cerca del 9% de los activos totales de la plataforma.
El ataque afectó a varios activos digitales, con una caída del 8% en el precio de Ether y un descenso del 5% en Bitcoin tras la filtración de la noticia. También se observó una breve pérdida de paridad en el token USDe de Ethena Labs, que cotizó a 98 centavos antes de recuperarse.
Cómo operaron los atacantes
Investigadores de seguridad indican que los atacantes transfirieron inicialmente los activos robados a una única cartera antes de dispersarlos en más de 40 direcciones adicionales. Posteriormente, convirtieron los derivados de Ether en Ether y comenzaron a mover los fondos en incrementos de 27 millones de dólares a más de 10 nuevas direcciones.
Arkham Intelligence atribuyó el ataque al grupo Lazarus, respaldando la afirmación con pruebas presentadas por ZachXBT. Este grupo ha sido vinculado previamente con robos a otras plataformas de criptomonedas, como el exchange WazirX y el protocolo de préstamos Radiant Capital.
Investigaciones en curso y futuro de la plataforma
El vicepresidente de seguridad y confianza de Fireblocks, Shahar Madar, señaló que el ataque comparte similitudes con incidentes previos atribuidos a piratas informáticos de Corea del Norte, lo que sugiere que los responsables poseen un alto nivel de sofisticación.
Por su parte, Bybit ha reforzado su seguridad y trabaja en colaboración con firmas especializadas para esclarecer cómo se llevó a cabo el ataque. Zhou explicó que la transacción fraudulenta se presentó como legítima ante el equipo de la plataforma, lo que sugiere una posible manipulación de la interfaz de usuario o la vulneración de los dispositivos de los firmantes de la transacción.
A pesar del impacto del robo, la plataforma sigue operativa y procesando transacciones. No obstante, la compañía enfrenta el desafío de restaurar la confianza de sus clientes y garantizar la seguridad de sus sistemas en el futuro.
