El hackeo a Bybit ocurrió el 21 de febrero de 2025. Los hackers norcoreanos lograron infiltrarse en el sistema de Bybit y robaron una cartera de ether valorada en 1.400 millones de dólares. Este ataque se considera el mayor robo de criptomonedas en la historia.
Bybit es una plataforma de intercambio de criptomonedas que ofrece servicios de compra, venta y trading de Bitcoin, Ether y otras altcoins. Fundada en 2018, Bybit se ha convertido en una de las plataformas más populares y confiables en el mercado de criptomonedas, con más de 20 millones de usuarios registrados en todo el mundo. Bybit se destaca por su motor de emparejamiento rápido, soporte al cliente integral y una amplia gama de productos y servicios, incluyendo trading de futuros, trading spot, copy trading y más.
Breve descripción del grupo de hackers norcoreanos involucrados (TraderTraitor/Lazarus)
El grupo de hackers norcoreanos conocido como TraderTraitor, también conocido como Lazarus, es un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado de Corea del Norte. Este grupo ha estado activo desde al menos 2020 y ha sido responsable de numerosos ataques cibernéticos dirigidos a empresas de blockchain y criptomonedas. Lazarus utiliza una variedad de tácticas, técnicas y procedimientos (TTPs) para comprometer a sus víctimas, incluyendo la ingeniería social, el phishing y el uso de malware troyanizado. El grupo ha sido vinculado a varios ataques de alto perfil en el pasado y es conocido por su capacidad para eludir las medidas de seguridad y robar grandes cantidades de criptomonedas.
El hackeo a Bybit comenzó con una campaña de phishing dirigida a los firmantes del monedero fuera de línea de Bybit. Los atacantes obtuvieron acceso a la interfaz de usuario de Bybit, lo que les permitió sustituir un contrato de implementación de monedero multifirma por una versión maliciosa. Esto les permitió empezar a procesar transferencias de fondos no autorizadas. Según Chainalysis, los hackers interceptaron una transferencia rutinaria desde el monedero fuera de línea de Ethereum de Bybit a un monedero online. Los atacantes desviaron entonces unos 401.000 ETH (1.460 millones de dólares) a sus direcciones.
Uso de malware y técnicas de ingeniería social
Los hackers utilizaron un proyecto Docker falso que se hacía pasar por un simulador de inversión en acciones para comprometer el portátil de un desarrollador de Safe{Wallet}, conocido como Developer. El proyecto se comunicó con un dominio sospechoso (getstockprice[.]com), lo que llevó a la instalación del malware PLOTTWIST. Este malware permitió a los hackers obtener tokens de sesión de AWS robados, lo que les permitió eludir la autenticación multifactor (MFA) de AWS y acceder a los servicios de AWS sin necesidad de pasar controles de MFA.
El portátil de Developer1 fue comprometido a través de un proyecto Docker contaminado que se comunicaba con un dominio malicioso. Los atacantes inyectaron código JavaScript malicioso en la infraestructura de Safe{Wallet}, lo que les permitió engañar a los firmantes para que aprobaran una transacción maliciosa. Este código malicioso modificaba las llamadas a las funciones executeTransaction y signTransaction, enviando los fondos a la dirección deseada por el atacante.
Elusión de la autenticación multifactor (MFA) de AWS
Los atacantes lograron eludir la autenticación multifactor (MFA) de AWS utilizando tokens de sesión de AWS robados. Estos tokens de sesión permitieron a los hackers acceder a los servicios de AWS sin necesidad de pasar por los controles de MFA. La configuración de AWS de Safe{Wallet} requería la reautenticación de MFA para las sesiones del Servicio de Tokens de Seguridad (STS) cada 12 horas. Los atacantes intentaron, pero no lograron, registrar su propio dispositivo MFA. Para eludir esta restricción, secuestraron tokens de sesión de usuario de AWS activos a través del malware plantado en el portátil de Developer.
Los tokens de sesión de AWS robados permitieron a los atacantes acceder a los servicios de AWS sin necesidad de pasar por los controles de MFA. Estos tokens de sesión son credenciales de seguridad temporales que permiten a los usuarios y aplicaciones realizar llamadas API seguras. Los atacantes utilizaron estos tokens para acceder a la infraestructura de Safe{Wallet} y modificar la interfaz del monedero multifirma de Bybit, cambiando la dirección a la que se suponía que se enviarían los fondos.
Los hackers norcoreanos utilizaron una variedad de herramientas y métodos sofisticados para llevar a cabo el ataque a Bybit. Estas herramientas y métodos les permitieron comprometer la seguridad de la plataforma y robar una cantidad significativa de criptomonedas.
Los atacantes utilizaron un proyecto Docker falso que se hacía pasar por un simulador de inversión en acciones para comprometer el portátil de un desarrollador de Safe{Wallet}, conocido como Developer1. El proyecto Docker se comunicaba con un dominio sospechoso (getstockprice[.]com), lo que llevó a la instalación del malware PLOTTWIST en el sistema del desarrollador. Este malware permitió a los hackers obtener tokens de sesión de AWS robados y eludir la autenticación multifactor (MFA) de AWS.
Implementación de malware PLOTTWIST
El malware PLOTTWIST fue una de las principales herramientas utilizadas por los hackers en este ataque. Este malware permitió a los atacantes obtener tokens de sesión de AWS robados, lo que les permitió eludir la autenticación multifactor (MFA) de AWS y acceder a los servicios de AWS sin necesidad de pasar controles de MFA. El malware también permitió a los hackers inyectar código malicioso en la infraestructura de Safe{Wallet}, lo que les permitió engañar a los firmantes para que aprobaran una transacción maliciosa. Los atacantes utilizaron direcciones IP vinculadas a un servicio de VPN y herramientas de hacking ofensivo para llevar a cabo el ataque. Estas herramientas les permitieron ocultar su ubicación y actividad, lo que dificultó los esfuerzos de rastreo y mitigación. Los hackers también eliminaron su malware y borraron el historial de Bash en un esfuerzo por frustrar los esfuerzos de investigación y ocultar sus huellas.
El hackeo a Bybit resultó en la pérdida de aproximadamente 1.400 millones de dólares en criptomonedas. Los hackers robaron 401.347 ETH (Ethereum), 90.376 stETH (staked Ether), 15.000 cmETH (Mantle Staked ETH) y 8.000 mETH (Mantle Staked ETH), entre otros tokens.
Reacción de Bybit y medidas tomadas
Tras el hackeo, Bybit tomó medidas inmediatas para mitigar el impacto y recuperar los fondos robados. La plataforma lanzó una campaña de recuperación y ofreció una recompensa del 10% de los fondos recuperados a los expertos en ciberseguridad y blockchain que ayudaran en la recuperación. Bybit compró aproximadamente 446.870 ETH (valorados en 1.230 millones de dólares) a través de préstamos, depósitos de grandes inversores y compras directas para reponer los fondos robados.
El CEO de Bybit, Ben Zhou, ha sido proactivo en la comunicación con los usuarios y la comunidad cripto. Zhou declaró que más del 77% de los fondos robados siguen siendo rastreables, mientras que el 20% se ha vuelto irrecuperable. También mencionó que Bybit ha vuelto a tener una reserva del 100% de los activos de los clientes. Zhou enfatizó la importancia de congelar los fondos robados antes de que se limpien a través de exchanges y plataformas de trading.
Colaboración con empresas de seguridad y analistas blockchain
Bybit ha colaborado estrechamente con empresas de seguridad y analistas blockchain para rastrear y recuperar los fondos robados. Chainalysis, una firma de análisis blockchain, ha jugado un papel crucial en la identificación de las tácticas de lavado utilizadas por el grupo de hackers Lazarus. Además, Safe Wallet y Mandiant han llevado a cabo una investigación forense para comprender mejor cómo ocurrió el ataque y fortalecer las defensas de la plataforma.
Hasta la fecha, Bybit ha logrado congelar aproximadamente 42,89 millones de dólares (3% del total robado) a través de la coordinación con Tether, THORChain, ChangeNow, FixedFloat, CoinEx, Bitget y Circle. Además, Bybit ha recuperado 15.000 cmETH, valorados en 43 millones de dólares, gracias al apoyo del protocolo mETH. Aunque la recuperación completa de los fondos robados sigue siendo un desafío, la colaboración con la comunidad cripto y las empresas de seguridad ha sido fundamental para mitigar el impacto del hackeo.
Informes de Mandiant y Chainalysis
Chainalysis publicó un informe detallando cómo los hackers robaron 1.460 millones de dólares del exchange de criptomonedas Bybit. El informe explicó que el ataque comenzó con una campaña de phishing dirigida a los firmantes del monedero fuera de línea de Bybit. Los atacantes obtuvieron acceso a la interfaz de usuario de Bybit y sustituyeron un contrato de implementación de monedero multifirma por una versión maliciosa, lo que les permitió procesar transferencias de fondos no autorizadas. Mandiant, por su parte, confirmó que los hackers eran actores estatales norcoreanos que tomaron 19 días para preparar y ejecutar el ataque. El análisis forense de Mandiant también reveló que los hackers secuestraron los tokens de sesión de AWS de un desarrollador de SafeWallet para eludir las medidas de seguridad de autenticación multifactor.
Técnicas de lavado de dinero utilizadas por los hackers
Los hackers utilizaron una serie de técnicas sofisticadas para lavar los fondos robados. Según Chainalysis, los activos robados se movieron a través de una compleja red de direcciones intermediarias, una táctica común utilizada para ofuscar el rastro y obstaculizar los esfuerzos de rastreo de los analistas blockchain. Los hackers convirtieron partes del ETH robado en otros activos, incluidos Bitcoin y Dai, utilizando exchanges descentralizados (DEX), puentes crosschain y un servicio de swap instantáneo sin protocolos Know Your Customer (KYC) para mover activos a través de diferentes redes. Los hackers mantuvieron deliberadamente inactivos los fondos para evitar un mayor escrutinio tras un incidente de tan gran repercusión.
Comparación con otros hackeos importantes en la historia de las criptomonedas
El hackeo a Bybit es considerado el mayor robo de criptomonedas de la historia, con pérdidas que superan los 1.400 millones de dólares en Ethereum (ETH). Otros hackeos importantes incluyen:
Red Ronin (2022): Hackeo de 620 millones de dólares en ETH y USDC. Los hackers comprometieron las claves privadas de los validadores del bridge de Ronin.
Poly Network (2021): Robo de 611 millones de dólares en múltiples criptomonedas. Los hackers explotaron vulnerabilidades en contratos inteligentes cross-chain.
FTX (2022): Robo de 477 millones de dólares en activos digitales. Se especula con un hackeo interno o una acción fraudulenta dentro de FTX.
Coincheck (2018): Robo de 530 millones de dólares en NEM (XEM). Los hackers accedieron a una billetera caliente del exchange.
Mt. Gox (2014): Robo de 850.000 BTC (~450 millones de dólares en ese momento). Los hackers comprometieron la seguridad de la plataforma, que guardaba la mayor parte de sus fondos en monederos de almacenamiento en caliente.
1 Comentarios
Las criptomonedas son el futuro.
ResponderEliminar