Medios reportaron que el análisis forense del hackeo a Bybit reveló que se debió al robo de credenciales de Safe{Wallet}.
Contenido:
Detalles del ataque y vulnerabilidad explotada
El 21 de febrero de 2025, Bybit sufrió una brecha de seguridad que resultó en el robo de aproximadamente $1,400 millones en ETH.
Investigaciones forenses realizadas por las firmas Sygnia y Verichains revelaron que el ataque se originó debido a credenciales comprometidas de un desarrollador de Safe{Wallet}, lo que permitió a los atacantes inyectar código JavaScript malicioso en la infraestructura de AWS de Safe{Wallet}.
“Las credenciales de un desarrollador de Safe fueron comprometidas […] lo que permitió al atacante obtener acceso no autorizado a la infraestructura de Safe{Wallet} y engañar totalmente a los firmantes para que aprobaran una transacción maliciosa”, explico Bybit.
Por su parte, el desarrollador de Safe{Wallet} confirmó la vulnerabilidad y tomó medidas inmediatas para reforzar la seguridad, incluyendo la reconstrucción completa de la infraestructura y la rotación de todas las credenciales, asegurando la eliminación del vector de ataque.
Es importante destacar que la infraestructura interna de Bybit no fue comprometida durante este incidente.
Implicación del Grupo Lazarus y esfuerzos de recuperación
Analistas de seguridad, incluyendo Arkham Intelligence y el investigador on-chain ZachXBT, han vinculado este ataque al Grupo Lazarus, una organización de hackers respaldada por Corea del Norte conocida por anteriores robos en el sector de las criptomonedas.
Elliptic, una empresa de análisis blockchain, identificó más de 11,000 monederos de criptomonedas controlados por estos hackers, utilizados para lavar los fondos robados.
En respuesta, Bybit ha implementado una API para listar en la lista negra las direcciones sospechosas y ha ofrecido recompensas para quienes ayuden a rastrear y recuperar los activos sustraídos.
Además, la empresa ha contratado a la firma de seguridad Web3 ZeroShadow para realizar análisis forenses en la blockchain y maximizar la recuperación de los fondos.
Repercusiones en el mercado y medidas adoptadas por Bybit
Tras el incidente, Bybit experimentó retiros masivos, con salidas que superaron los $4,000 millones, lo que algunos medios describieron como una “corrida bancaria”.
A pesar de la magnitud del ataque, el CEO de Bybit, Ben Zhou, aseguró a los usuarios que la plataforma sigue siendo solvente y que todos los activos de los clientes están respaldados 1:1.
Para garantizar la liquidez y procesar los retiros, Bybit aseguró préstamos puente y desarrolló nuevas herramientas para acceder a fondos previamente congelados debido a medidas de seguridad.
Este incidente ha puesto de manifiesto las vulnerabilidades inherentes incluso en exchanges centralizados con medidas de seguridad robustas. Expertos en seguridad enfatizan la necesidad de adoptar soluciones de custodia más seguras y reforzar las prácticas internas de ciberseguridad para prevenir futuros ataques de esta naturaleza.
La comunidad cripto observa de cerca cómo Bybit maneja esta crisis y las medidas que implementará para fortalecer su infraestructura de seguridad en el futuro.
