El 21 de febrero fue un d\u00eda oscuro para el mercado de criptomonedas, ya que sufri\u00f3 el mayor robo de su historia. Los atacantes se llevaron alrededor de 1500\u00a0millones de d\u00f3lares de Bybit, el segundo exchange de criptomonedas m\u00e1s grande del mundo, y los expertos lo citan como el robo m\u00e1s grande (de cualquier tipo) de todos los tiempos. Aunque ni esta p\u00e9rdida ni el retiro de otros 5\u00a0mil\u00a0millones de d\u00f3lares por parte de inversores en p\u00e1nico fueron fatales para Bybit, el incidente subraya las fallas fundamentales del ecosistema criptogr\u00e1fico moderno y ofrece algunas lecciones valiosas para los usuarios habituales.<\/p>\n
Al igual que todos los principales intercambios de criptomonedas, Bybit protege las criptomonedas almacenadas con protecci\u00f3n de m\u00faltiples capas. La mayor\u00eda de los fondos se almacenan en carteras fr\u00edas<\/a> desconectadas de los sistemas en l\u00ednea. Cuando es necesario recargar los activos actuales, la suma requerida se mueve manualmente de la cartera fr\u00eda a la caliente y la operaci\u00f3n es firmada por varios empleados a la vez. Para ello, Bybit utiliza una soluci\u00f3n de firma m\u00faltiple (multisig) de Safe{Wallet}, y cada empleado involucrado en la transacci\u00f3n la firma utilizando una criptoclave de hardware Ledger privada<\/a>.<\/p>\n Los atacantes estudiaron el sistema en detalle y, seg\u00fan investigadores independientes, vulneraron una m\u00e1quina de desarrolladores de Safe{Wallet}. Se presume que se realizaron modificaciones maliciosas al c\u00f3digo para mostrar las p\u00e1ginas de la aplicaci\u00f3n web Safe{Wallet}. Tras realizar su propia investigaci\u00f3n, los propietarios de Safe{Wallet} rechazaron las conclusiones de las dos empresas independientes de seguridad de la informaci\u00f3n, insistiendo en que su infraestructura no hab\u00eda sido pirateada.<\/p>\n \u00bfY entonces qu\u00e9 pas\u00f3? Durante una recarga rutinaria de 7\u00a0millones de d\u00f3lares a una cartera caliente, los empleados de Bybit vieron en las pantallas de sus ordenadores esa cantidad exacta y la direcci\u00f3n del destinatario, que coincid\u00eda con la direcci\u00f3n de la cartera caliente. \u00a1Pero en su lugar se enviaron otros datos para firmar! Para transferencias regulares, la direcci\u00f3n del destinatario puede (\u00a1y debe!) verificarse en la pantalla del dispositivo Ledger. Pero cuando se firman transacciones multisig, esta informaci\u00f3n no se muestra, por lo que los empleados de Bybit b\u00e1sicamente realizaron una transferencia a ciegas.<\/p>\n Como resultado, sin darse cuenta dieron luz verde a un contrato inteligente malicioso que traslad\u00f3 todo el contenido de una de las carteras fr\u00edas de Bybit a varios cientos de carteras falsas. Tan pronto como se complet\u00f3 el retiro de la cartera de Bybit, parece que el c\u00f3digo en el sitio web de Safe{Wallet} volvi\u00f3 a la versi\u00f3n inofensiva. Los atacantes est\u00e1n actualmente ocupados \u201cestratificando\u201d el Ethereum robado, transfiri\u00e9ndolo poco a poco en un intento de blanquearlo.<\/p>\n Al parecer, Bybit y sus clientes fueron v\u00edctimas de un ataque dirigido a la cadena de suministro<\/a>.<\/p>\n El FBI ha se\u00f1alado oficialmente<\/a> como autor a un grupo norcoreano cuyo nombre en clave es TraderTraitor. En los c\u00edrculos de seguridad de la informaci\u00f3n, este grupo tambi\u00e9n es conocido como Lazarus, APT38 o BlueNoroff<\/a>. Su estilo caracter\u00edstico son los ataques persistentes, sofisticados y sostenidos en el \u00e1mbito de las criptomonedas: pirateando a los desarrolladores de carteras, robando en las bolsas de criptomonedas, robando a los usuarios normales e incluso creando juegos falsos de jugar para ganar<\/a>.<\/p>\n Antes de la redada de Bybit, el r\u00e9cord del grupo era el robo de 540\u00a0millones de d\u00f3lares<\/a> de la cadena de bloques (blockchain) Ronin Networks, creada para el juego Axie Infinity<\/em>. En ese ataque de 2022, los piratas inform\u00e1ticos infectaron el ordenador de uno de los desarrolladores del juego utilizando una oferta de trabajo falsa en un archivo PDF infectado. Esta t\u00e9cnica de ingenier\u00eda social sigue formando parte del arsenal del grupo<\/a> hasta el d\u00eda de hoy.<\/p>\n En mayo de 2024, el grupo realiz\u00f3 un robo de m\u00e1s de 300\u00a0millones de d\u00f3lares de la plataforma de intercambio de criptomonedas japonesa DMM Bitcoin<\/a>, que quebr\u00f3 como consecuencia. Antes de eso, en 2020, m\u00e1s de 275\u00a0millones de d\u00f3lares fueron desviados de la plataforma de intercambio de criptomonedas KuCoin<\/a>, con una \u201cclave privada filtrada\u201d de una cartera caliente citada como la causa.<\/p>\n Lazarus lleva m\u00e1s de una d\u00e9cada perfeccionando sus t\u00e1cticas de robo de criptomonedas. En 2018, escribimos sobre una serie de ataques a bancos y exchanges de criptomonedas que utilizaban una aplicaci\u00f3n de comercio de criptomonedas troyanizada como parte de la Operaci\u00f3n AppleJeus<\/a>. Los expertos de Elliptic estiman<\/a> que los ingresos totales de los delincuentes vinculados a Corea del Norte ascienden a unos 6\u00a0mil\u00a0millones de d\u00f3lares.<\/p>\n En el caso de Bybit, los clientes tuvieron suerte: el exchange atendi\u00f3 r\u00e1pidamente la ola de solicitudes de retiro que se produjo y prometi\u00f3 compensar las p\u00e9rdidas con sus propios fondos. Bybit contin\u00faa en actividad, por lo que los clientes no necesitan tomar ninguna medida en particular.<\/p>\n Pero el pirateo demuestra una vez m\u00e1s lo dif\u00edcil que es proteger los fondos que fluyen a trav\u00e9s de los sistemas de cadena de bloques y lo poco que se puede hacer para cancelar una transacci\u00f3n o devolver dinero. Dada la magnitud sin precedentes del ataque, muchos han pedido que la cadena de bloques Ethereum vuelva a su estado anterior al ataque, pero los desarrolladores de Ethereum consideran que esto es \u201ct\u00e9cnicamente imposible\u201d<\/a>. Mientras tanto, Bybit ha anunciado un programa de recompensas<\/a> para exchanges de criptomonedas e investigadores \u00e9ticos por un monto del 10\u00a0% de los fondos recuperados, pero hasta ahora solo se han materializado 43\u00a0millones de d\u00f3lares.<\/p>\n Esto ha llevado a algunos expertos de la industria de criptomonedas<\/a> a especular que la principal consecuencia del ataque ser\u00e1 un aumento en la autocustodia de criptoactivos<\/a>.<\/p>\n La autocustodia<\/strong> traslada la responsabilidad del almacenamiento seguro de los hombros de los especialistas a los suyos. Por lo tanto, solo siga este camino si tiene plena confianza en sus capacidades para dominar todas las medidas de seguridad y seguirlas estrictamente d\u00eda a d\u00eda. Tenga en cuenta que es poco probable que los usuarios habituales sin millones de criptocartera se enfrenten a un ataque sofisticado dirigido espec\u00edficamente a ellos, mientras que los ataques masivos gen\u00e9ricos son m\u00e1s f\u00e1ciles de desviar.<\/p>\n Entonces, \u00bfqu\u00e9 se necesita para la autocustodia segura de criptomonedas?<\/p>\n Lea m\u00e1s sobre las estafas con criptomonedas y las formas de protegerse en nuestras publicaciones dedicadas:<\/p>\nEl caso de Bybit no es un caso aislado<\/h2>\n
Qu\u00e9 deben hacer los inversores en criptomonedas<\/h2>\n
\n
Los ocho robos de criptomonedas m\u00e1s espectaculares de la historia<\/a><\/h3>\n
Los 5 mayores robos de criptomonedas de la historia<\/a><\/h3>\n
Estudio de caso: criptocartera de hardware falsificada<\/a><\/h3>\n
Matanza de cerdos: fraude con criptomonedas a gran escala<\/a><\/h3>\n