Bybit sufre robo de criptomonedas por 1.4 mil millones de dólares, grupo norcoreano implicado

Resumen Ejecutivo

El 21 de febrero de 2025, el exchange de criptomonedas Bybit sufrió una brecha de seguridad que llevó al robo de más de 1.400 millones de dólares en activos digitales. Un grupo de hackers norcoreano ha sido identificado como el perpetrador de este significativo exploit, marcando el mayor robo individual en la historia de la industria de las criptomonedas.

El Evento en Detalle

El incidente de seguridad, ocurrido el 21 de febrero de 2025, implicó la transferencia no autorizada de aproximadamente 1.400 millones de dólares de las billeteras frías de Bybit. Los activos robados incluyeron 401.347 ETH (valorados en aproximadamente 1.120 millones de dólares), 90.376 stETH (253 millones de dólares), 15.000 cmETH (44 millones de dólares) y 8.000 mETH (23 millones de dólares). El analista de seguridad en cadena ZachXBT identificó inicialmente salidas sospechosas por un total aproximado de 1.460 millones de dólares.

El vector de ataque implicó una sofisticada explotación de una solución de billetera multifirma ampliamente utilizada, Safe{Wallet}. Los atacantes inyectaron código JavaScript malicioso en la UI de Safe{Wallet} a través de una máquina de desarrollador comprometida. Esto les permitió alterar la lógica del contrato inteligente durante una transferencia interna aparentemente rutinaria, lo que provocó que los firmantes autorizados de Bybit aprobaran sin saberlo una transacción que entregó el control del contrato inteligente de la billetera fría a los atacantes. Los fondos fueron luego dispersados y ofuscados a través de múltiples billeteras, intercambios descentralizados y protocolos de mezcla.

El cofundador y CEO de Bybit, Ben Zhou, confirmó el incidente. En respuesta, Bybit declaró su solvencia, afirmando que todos los fondos de los clientes están respaldados en una base de 1:1. El exchange procesó más de 350.000 solicitudes de retiro en 10 horas y más de 580.000 solicitudes posteriormente, con los servicios volviendo a la funcionalidad normal. Una auditoría de prueba de reservas realizada por Hacken el 23 de febrero de 2025 respaldó la afirmación de Bybit de mantener más del 100% de las reservas necesarias para cubrir los pasivos. También se inició un programa de recompensa por recuperación, ofreciendo el 10% de los fondos recuperados.

Implicaciones para el Mercado

Este incidente representa el mayor robo de criptomonedas individual en la historia, lo que genera preocupaciones significativas sobre la postura de seguridad de los exchanges centralizados y la infraestructura de terceros. La brecha puede llevar a un mayor escrutinio de las implementaciones de billeteras multifirma y los procesos que rigen las transacciones de alto valor. Si bien la rápida respuesta y la confirmación de solvencia de Bybit mitigaron el pánico inmediato y mantuvieron la confianza del usuario, el evento refuerza la volatilidad y los riesgos inherentes al mercado de activos digitales. Subraya la necesidad crítica de protocolos de seguridad mejorados en todo el ecosistema Web3 para prevenir exploits a gran escala similares.

Comentario de Expertos

Los investigadores, incluidos ZachXBT y el FBI de EE. UU., atribuyeron el ataque a un grupo de hackers patrocinado por el estado norcoreano, específicamente el Grupo Lazarus. Estos grupos han sido vinculados a numerosos robos de criptomonedas de alto perfil, acumulando miles de millones de dólares para financiar programas de armas sancionados. El fundador de Binance, Changpeng Zhao ("CZ"), advirtió previamente sobre las tácticas avanzadas y pacientes empleadas por los hackers norcoreanos, incluido hacerse pasar por candidatos a puestos de desarrollador y seguridad, realizar entrevistas fraudulentas con enlaces cargados de malware y sobornar a proveedores externos para obtener acceso a datos. Estos métodos sofisticados, que han llevado a más de 2.200 millones de dólares en robos solo en la primera mitad de 2025, destacan una amenaza sistémica que requiere cooperación internacional, estándares de seguridad robustos y análisis avanzados de blockchain para contrarrestar.

Contexto más Amplio

Las operaciones cibernéticas de Corea del Norte se han convertido en una amenaza significativa y persistente para la industria de las criptomonedas, con sus tácticas cada vez más sofisticadas. El hack de Bybit sigue una tendencia de escalada de ciberataques, con robos que aumentaron un 102,88% en 2024. Este incidente ocurre en un contexto de evolución de los paisajes regulatorios. El 2 de septiembre de 2025, la Comisión de Bolsa y Valores de EE. UU. (SEC) y la Comisión de Comercio de Futuros de Productos Básicos (CFTC) emitieron una declaración conjunta aclarando que los exchanges registrados pueden listar y facilitar el comercio de ciertos productos de activos criptográficos al contado. Se espera que esta claridad regulatoria impulse una mayor participación institucional, pero también requiere un enfoque aún mayor en la resiliencia de la ciberseguridad a medida que flujos de capital más grandes ingresan al espacio de los activos digitales, lo que hace que las defensas robustas contra los actores patrocinados por el estado sean más críticas que nunca. El ataque ejemplifica la tensión continua entre la maduración del mercado y los riesgos cibernéticos persistentes y en evolución. Etiquetas alt de imagen: ["Hackeo del exchange Bybit por 1.4 mil millones de dólares", "Robo de criptomonedas del Grupo Lazarus de Corea del Norte", "Brecha de seguridad de Bybit febrero de 2025", "Incidente de seguridad del exchange de criptomonedas", "Amenazas cibernéticas del ecosistema Web3", "Volatilidad del mercado de activos digitales", "Protocolos de seguridad blockchain"]