El mayor 'hackeo' de la historia de las criptomonedas
El intercambio de criptomonedas Bybit sufre un complejo robo de más de 1.400 millones de dólares en Ethereum

Logo de Bybit.
La industria de las criptomonedas se enfrenta al que podría ser el mayor hackeo de la historia, no solo en el sector cripto sino potencialmente en todo el sistema financiero. Bybit, el segundo mayor exchange de criptomonedas del mundo, ha sufrido un robo de 1.400 millones de dólares en Ethereum y sus derivados, desatando una ola de pánico en el mercado. El ataque, vinculado a un grupo cibercriminal de Corea del Norte, plantea nuevamente serias dudas sobre la seguridad de las plataformas centralizadas y refuerza el argumento a favor de la autocustodia de los activos digitales.
El ataque
El pasado viernes, un equipo de ciberdelincuentes logró infiltrarse en el sistema de seguridad de Bybit durante una operación rutinaria de movimiento de fondos. Consiguieron manipular el proceso que protege las reservas principales de la plataforma, alojados que en billeteras conocidas como “carteras frías”, y que entre otras medidas, requiere múltiples autorizaciones para acceder a ellas. Como resultado, más de 400.000 unidades de Ethereum (ETH) y otras criptomonedas relacionadas fueron transferidas a cuentas controladas por los atacantes, valoradas en aproximadamente 1.400 millones de dólares.
El equipo de seguridad de la plataforma describió el ataque como una “manipulación del proceso de transferencia”, una explicación técnica que esconde un sofisticado asalto a los sistemas de seguridad que se consideraban entre los más robustos del sector. Los atacantes dividieron los fondos robados en 40 transacciones separadas de 10.000 ETH cada una, una estrategia claramente diseñada para dificultar el seguimiento.
Lazos con Corea del Norte
Según las investigaciones de Elliptic, una firma especializada en análisis blockchain, el hackeo tiene fuertes vínculos con el Grupo Lazarus, una unidad de hackers vinculada al gobierno de Corea del Norte, famosa por otros grandes ataques al sector cripto.
“Las direcciones asociadas con el ataque a Bybit fueron identificadas y estaban disponibles para su revisión en apenas 30 minutos después del anuncio, protegiendo a los clientes sin necesidad de realizar comprobaciones manuales repetitivas”, señaló el equipo de Elliptic, que ha identificado más de 11.000 direcciones de criptomonedas potencialmente vinculadas al ataque.
El papel de un posible infiltrado
Un aspecto inquietante del caso es la posible participación de algún insider o empleado de Bybit en el hackeo. Según el experto en seguridad Dexaran, autor del estándar de toekns de ethereum ERC-223, y una figura destacada en la industria, el ataque evidencia un conocimiento detallado de los sistemas internos de seguridad de la plataforma.
“El punto débil de la multifirma utilizada resultó ser las firmas digitales, o más bien, cómo y con qué ayuda se generan”, explica Dexaran. Las firmas digitales son extremadamente complejas e ilegibles para humanos, lo que sugiere que se utiliza software para generarlas. El proceso es idéntico para todos los participantes, lo que explicaría por qué otros miembros del equipo de Bybit no sospecharon nada cuando el equipo de atacantes logró sustituir la dirección de la billetera de Bybit por su propia dirección.
Impacto en el mercado
El hackeo provocó una inmediata reacción negativa en el mercado. En las horas posteriores al anuncio oficial, Bitcoin cayó un 3%, mientras que Ethereum experimentó una caída más pronunciada del 7%. El volumen de operaciones en Bybit se desplomó hasta los 1.400 millones de dólares durante el fin de semana, y su participación en el mercado global de criptomonedas se redujo del 8% al 3,2%.
Por su parte, la liquidez de la plataforma sufrió un golpe significativo, con una caída de su participación de la negociación de Bitcoin, Ethereum y las principales altcoins. Los usuarios retiraron más de 5.000 millones de dólares en los días posteriores al ataque, evidenciando la pérdida de confianza en la seguridad del exchange.
Recuperación de fondos
Bybit ha lanzado una “guerra” contra los responsables del ataque. Ben Zhou, CEO y cofundador de la plataforma, anunció una recompensa por el rastreo de los fondos y la creación de una lista negra para bloquear las carteras vinculadas al hackeo.
La compañía también ha contratado a la firma de seguridad Web3 ZeroShadow para realizar análisis forenses de la blockchain y maximizar la recuperación de los activos robados. Hasta el momento, se estima que más de 700 millones de dólares en ETH permanecen en carteras de “nivel 1”, que probablemente siguen bajo control de los atacantes.
La importancia de las auditorías de seguridad
El hackeo de Bybit subraya la necesidad crítica de fortalecer los protocolos de seguridad en los exchanges centralizados y compañías que operen en el sector gestionando fondos de clientes. Las plataformas de intercambio deben priorizar las auditorías regulares de seguridad realizadas por firmas especializadas como Zerod, CertiK y Trail of Bits, que pueden identificar vulnerabilidades antes de que sean explotadas por atacantes. Estas auditorías no solo deben examinar los contratos inteligentes, sino también los procesos operativos internos y los sistemas de generación de firmas digitales.
Las mejores prácticas incluyen la implementación de sistemas multicapa de seguridad, monitoreo en tiempo real de transacciones sospechosas y simulaciones de ataques para probar la resistencia de la infraestructura. Compañías como Halborn y Hacken ofrecen servicios completos que combinan auditorías técnicas con educación del personal, un aspecto crucial considerando que muchos ataques exitosos, como posiblemente el de Bybit, aprovechan el factor humano como eslabón más débil de la cadena de seguridad.
Perspectivas futuras
Este ataque plantea, una vez más, preguntas sobre la seguridad de las plataformas centralizadas de criptomonedas. A pesar de los sofisticados sistemas multifirma y las carteras frías, los hackers lograron burlar estas defensas, posiblemente con ayuda interna, y sacar adelante el complejo robo.
Este incidente recuerda que la carrera entre mecanismos de defensa y herramientas de hackeo no tiene fin, y que incluso las plataformas más grandes y aparentemente seguras pueden ser vulnerables. Para los usuarios, reafirma la importancia de mantener el control de las claves privadas de las billeteras y diversificar sus activos entre diferentes soluciones de almacenamiento.