Un sofisticado ‘phishing’ para el mayor robo de la historia cripto: 1.400 millones volaron de la cuenta de Bybit

El pasado viernes el mundo cripto pasó de un estado eufórico, después de que la SEC retirara su demanda contra Coinbase, a una profunda depresión. La industria volvió a vivir una pesadilla que la ha perseguido a lo largo de su historia: Bybit, el segundo mayor exchange del mundo por número de transacciones y con más de 40 millones de usuarios en el globo, había sido hackeado. La empresa anunció que los ciberdelincuentes habían vaciado su billetera fría de ethereum llevandose unos 401 tokens, por un valor de más de 1.400 millones de dólares en ese momento. El pánico se desató entre los inversores ante lo que se convirtió en el mayor robo de fondos de la historia de la industria.

Los hackers atacaron la billetera fría de ethereum: también llamada cold wallet, es un sistema sin conexión a internet que guarda las claves de acceso a las criptomonedas y considerado el más seguro. De hecho, es una billetera multifirma, que requiere de múltiples autorizaciones para aprobar una transacción. El viernes los directivos de la empresa estaban transfiriendo los fondos de su billetera fría a una hot wallet (o billetera caliente, que guarda las claves en sitios conectados a la red) dentro de un proceso operativo rutinario, y que se suele llevar a cabo cuando se necesita más liquidez en la plataforma.

El director ejecutivo de la plataforma, Ben Zhou, fue el último en validar la transacción, pero no la que él pensaba. Los atacantes, a través de un sofisticado sistema diseñaron una interfaz falsa que replicaba perfectamente la plataforma de administración de billeteras utilizada por Bybit. Esta interfaz mostraba direcciones y urls verificadas, lo que hizo que las transacciones parecieran legítimas. Cuando los firmantes aprobaron la transacción, los hackers desviaron los fondos hacia un wallet desconocido. Este método de ataque fue tan efectivo que los sistemas de seguridad de Bybit detectaron anomalías solo cuando era ya demasiado tarde. Una versión extremadamente sofisticada del phishing, una técnica comúnmente utilizada por los hackers que buscan engañar a los usuarios a través de la suplantación de identidad para robar información personal o acceder a cuentas online o contraseñas.

Poco después del ataque, la firma de investigación Arkham Intelligence detectó que los fondos habían comenzado a moverse a nuevas direcciones y que se estaban vendiendo. A día de hoy, la colaboración entre Bybit y otras plataformas ha llevado a bloquear y congelar casi 43 millones de dólares de los fondos robados. Otros están siendo lavados mediante diversas técnicas de ofuscación, incluido el chain hopping, que consiste en convertir una forma de criptomoneda en otra y moverla a través de múltiples blockchain: desde TRM Labs calculan que el domingo por la noche 160 millones habían sido canalizados a través de canales ilícitos.

La red ethereum es muy apreciada por la industria por la infinidad de casos de uso que ofrece. Gracias al código Solidity, de hecho, en esta blockchain se pueden crear y desarrollar aplicaciones y contratos inteligentes. “Pero estos son también un vértice de vulnerabilidad que los hackers aprovechan”, dice Javier Pastor, director de formación de Bit2Me.

Adolfo Contreras, asesor estratégico en Blockstream, explica que el problema está en fallos en el diseño de ethereum. Esta red utiliza EVM, una máquina virtual que es capaz de ejecutar una amplia gama de instrucciones y ejecuta los smart contracts. El experto considera que este sistema es muy complejo y genera demasiadas transacciones diferentes que no pueden ser “suportadas” por el hardware wallet, un pequeño dispositivo que permite resguardar y proteger las claves privadas: es decir, no tiene la suficiente capacidad de interpretar la enorme cantidad de transacciones que genera EVM. “La consecuencia es que cuando se firma una transacción de EVM, si es demasiado compleja y la billetera no es capaz de interpretarla, se hace una firma ciega. En la pantallita del dispositivo se ve una secuencia alfanumérica y se firma básicamente lo que aparezca”, detalla.

A las 16.51 del viernes la empresa informó en sus redes sociales sobre el ataque. Poco más de una hora después, el director ejecutivo contestó a las dudas de usuarios e inversores a través de una comparecencia en streaming, comunicando los detalles del ataque y las actualizaciones que se iban conociendo. En todo momento aseguró que las demás billeteras eran seguras y no habían sido afectadas: “Bybit es solvente. Incluso si esta pérdida no se recupera, todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida”, agregó.

Enseguida pidieron la colaboración de la industria, prometiendo donar un 10% de los fondos robados a quienes les ayuden a recuperar estos fondos. Los demás exchanges también se han activado, bloqueando la billetera utilizada por este hacker y todas aquellas a donde se envíen parte de los fondos robados. “Cualquier movimiento del atacante que quiera convertir en dinero las cripto que ha robado será bloqueado por el exchange. Esas wallets se etiquetan mediante un software que traza todos los movimientos del hacker, gracias a la blockchain”, explica Cristina Carrascosa, CEO y fundadora de ATH21.

Esta mañana, Ben Zhou, anunció que Bybit ya había repuesto los fondos robados y que nuevamente tenía suficientes activos para respaldar el 100% de los depósitos de sus clientes. La empresa ha comunicado que ha repuesto 446,87 unidades de ethereum, por un valor de más de 1.200 millones de dólares al precio actual, a través de préstamos, depósitos de grandes inversores y compras directas del token.

Firmas de análisis como Arkham y TRM Labs han estado rastreando los fondos robados: según sus investigaciones, todo apunta al Grupo Lazarus de Corea del Norte como responsable del hackeo. “El ataque siguió su conocido manual de operaciones, y los hackers norcoreanos no ocultan sus rastros porque operan fuera del alcance de las fuerzas del orden”, afirma Ari Redbord, director global de política y asuntos gubernamentales en TRM Labs. En un solo día, los hackers de Corea del Norte casi duplicaron la cantidad que sustrajeron en 2024: de hecho, el año pasado fueron responsables de aproximadamente el 35% de todos los fondos robados, por unos 800 millones de dólares en criptomonedas sustraídas en operaciones de alto impacto. Un reciente estudio de Chainalysis eleva esta cifra a 1.340 millones de dólares en 47 incidentes el año pasado.

Desde TRM Labs aseguran que atacar billeteras calientes y contratos inteligentes es común, pero las brechas en billeteras frías a esta escala son poco frecuentes. No obstante, ha habido otros ataques parecidos. Contreras señala que este último hackeo le recuerda al del Parity en 2017: en esa ocasión, los hackers aprovecharon una vulnerabilidad en los contratos inteligentes del software, que permitían la gestión de wallets multifirma. Los atacantes tomaron el control de algunas billeteras y desviaron los fondos: se hicieron con unas 150.000 unidades de ethereum, unos 30 millones de dólares en este entonces.

Tras este último incidente, los expertos creen que las plataformas dedicarán más presupuesto a la ciberdefensa. Redbord señala que la velocidad con la que los atacantes están moviendo esa cantidad de dinero era inimaginable hace tan solo un año. “La escala y velocidad de esta operación de lavado de dinero marcan una peligrosa evolución en cómo los hackers patrocinados por estados pueden explotar el ecosistema de criptomonedas, aprovechando la tecnología y las robustas redes de lavado de dinero. Esto indica una necesidad urgente de cooperación transfronteriza en la aplicación de la ley”.

No obstante, reconocen la respuesta eficiente de la empresa ante un accidente de tal tamaño. “Hablamos de un hackeo de 1.400 millones que no ha supuesto ni siquiera un problema en la liquidez del exchange. Si nos paramos a pensarlo, hablamos de un monto altísimo, y pudo seguir operando sin esa cantidad. Es sin duda el estándar al que apuntan todos los que trabajan en este sector”, concluye Carrascosa.