El 21 de febrero se produjo un hecho sin precedentes: un sofisticado ciberataque contra la bolsa Bybit se saldó con el robo de aproximadamente 1.460 millones de dólares en Ethereum (ETH) y tokens relacionados. Este incidente fue el mayor robo digital de la historia. También puso de manifiesto las vulnerabilidades incluso de las plataformas más reputadas y causó agitación en el mercado de criptomonedas. Los hackers poseen ahora más ETH que el propio Vitalik Buterin o la Fundación Ethereum. ¿Quiénes son estos ciberdelincuentes, cómo consiguieron llevar a cabo esta estafa y cuáles son las consecuencias de todo esto?

Ciberataque a Bybit: cómo ocurrió

El ataque de los hackers a Bybit no fue un ataque de fuerza bruta ni una simple explotación de una vulnerabilidad de un contrato inteligente. Fue una operación cuidadosamente orquestada mediante ingeniería social, manipulación de la interfaz de usuario y un profundo conocimiento de los procesos operativos de Bybit. El pirateo tuvo lugar durante una transferencia rutinaria de fondos desde el monedero frío multisig de Bybit — un sistema de almacenamiento offline de alta seguridad — al monedero caliente, que soporta las operaciones diarias de trading.

1. Los atacantes accedieron inicialmente a los sistemas de firma de monederos fríos de Bybit a través de correos electrónicos de phishing o malware. Esta penetración inicial tenía como objetivo explotar el elemento humano -en concreto, las personas encargadas de confirmar las transacciones- en lugar de la propia infraestructura de blockchain.
2. Una vez que obtuvieron acceso, los hackers clonaron la interfaz de firma de transacciones de Bybit, creando una versión falsa que parecía idéntica a la real. Cuando los firmantes comprobaron la transferencia, vieron la dirección de destino y el importe correctos, sin signos sospechosos. Pero la lógica subyacente del contrato inteligente había sido alterada.
3. Firmantes, engañado por la interfaz falsa, aprobaron lo que pensaban que era una transacción estándar. En realidad, autorizaron una transacción que reescribía el contrato del monedero, cediendo el control a los atacantes. Esto permitió a los hackers retirar todo el contenido de la cartera fría — 401.347 ETH, 90.376 stETH, 15.000 cmETH y 8.000 mETH — a una dirección desconocida.
4. A continuación, los atacantes comenzaron rápidamente a cubrir sus huellas. El ETH robado se distribuyó entre más de 40 monederos, con 10.000 ETH por dirección. Derivados como stETH y cmETH se intercambiaron por ETH a través de intercambios descentralizados (DEX) como Uniswap y ParaSwap, y los activos se dividieron además en piezas más pequeñas para dificultar su rastreo.

En los últimos cuatro días, los hackers han lavado 100.000 ETH (por valor de unos 250 millones de dólares), lo que supone el 18% del total de ETH robados (499.000). Con un saldo de 399.000 ETH aún en las carteras, Los ladrones de Bybit poseen más ETH que el propio Vitalik Buterin (250.000 ETH) o la Fundación Ethereum (269.175 ETH).

Actualmente, los atacantes utilizan principalmente el servicio THORChain para intercambiar activos entre distintas cadenas por BTC, DAI y otros activos: el servicio les permite hacerlo directamente entre distintas blockchains sin intermediarios ni el uso de tokens envueltos. Además, los participantes no necesitan registrarse, por lo que todo es anónimo.

Huella del Grupo Lazarus.

Varias plataformas, entre ellas Arkham Intelligence y Elliptic, atribuyeron el ataque al grupo de hackers norcoreano Lazarus, conocido por robos de criptomonedas de gran repercusión. Esta conclusión se basa en varias pruebas:

1. Comportamiento similar Investigador de ZachXBT que recibió un premio de Arkham por su trabajo, identificado transacciones de prueba y grupos de monederos asociados a operaciones anteriores de Lazarus, como los hackeos de Phemex y BingX. La dirección principal del pirateo (0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2) mostraba similitudes en la distribución de los fondos y las técnicas de blanqueo.
2. Precedentes históricos. El grupo Lazarus ha robado más de 6.000 millones de dólares en criptomonedas desde 2017, incluidos 1.340 millones solo en 2024. Sus secuencias de comandos suelen implicar la manipulación de la interfaz de usuario, la ingeniería social y el ataque a monederos con varias firmas, tácticas que se reflejan en el ataque a Bybit.
3. Blanqueo. Los ETH robados comenzaron a fluir a través de DEX, puentes entre cadenas e intercambios centralizados como eXch, que procesó más de 75 millones de dólares de estos fondos a pesar de las peticiones de Bybit para bloquearlos. La conversión de ETH a Bitcoin y el posible uso de mezcladores son coherentes con los planes de blanqueo de Lazarus.

Arkham Intelligence también observó que los hackers de Bybit realizaban entre 2 y 3 transacciones por minuto y paraban cada 45 minutos para hacer una pausa de 15 minutos. ETH se movía de una dirección a la vez antes de pasar a la siguiente.

Si podemos confirmar que el dinero ha sido transferido a la RPDC, Corea del Norte se convertirá así en uno de los mayores poseedores de ETH del mundoі. En este caso, los ingresos suelen destinarse al programa de pruebas y lanzamiento de misiles balísticos, escribe Elíptica.

 

MEDIA escriba aque el FBI en busca de El hacker norcoreano Park Jin-hyuk, asociado al grupo Lazarus y al virus ransomware WannaCry. También está implicado en el robo de fondos de Bybit y en otros ciberdelitos:

• 81 millones de dólares — Banco Central de Bangladesh (2016)
• 625 millones de dólares — Axie Infinity (2022)
• 100 millones de dólares — Puente Harmony (2022)
• 41 millones de dólares — Participación (2023)
• 1.500 millones de dólares — (2025)