Otra lección que una vez más nos debe recordar que la seguridad de un sistema, es la de su eslabón más débil.
The cryptocurrency exchange Bybit lost $1.5 billion to North Korean hackers last month — and it all traced back to an account on a free digital storage service.
www.nytimes.com
Cómo ocurrió el mayor atraco a las criptomonedas de la historia
El exchange de criptomonedas Bybit perdió 1.500 millones de dólares a manos de piratas informáticos norcoreanos el mes pasado, y todo se remonta a una cuenta en un servicio de almacenamiento digital gratuito.
Por David Yaffe-Bellany, 6 de marzo de 2025
En la noche del 21 de febrero, Ben Zhou, el director ejecutivo del exchange de criptomonedas Bybit, se conectó a su computadora para aprobar lo que parecía ser una transacción de rutina. Su empresa estaba moviendo una gran cantidad de Ether, una popular moneda digital, de una cuenta a otra.
Treinta minutos después, Zhou recibió una llamada del director financiero de Bybit. Con voz temblorosa, el ejecutivo le dijo a Zhou que su sistema había sido hackeado.
"Todo el Ethereum se ha ido", dijo.
Cuando Zhou aprobó la transacción, había entregado inadvertidamente el control de una cuenta a piratas informáticos respaldados por el gobierno de Corea del Norte, según el FBI. Robaron 1.500 millones de dólares en criptomonedas, el mayor atraco en la historia de la industria.
Para llevar a cabo la asombrosa brecha, los piratas informáticos explotaron una falla simple en la seguridad de Bybit: su dependencia de un producto de software libre.
Penetraron en Bybit manipulando un sistema disponible públicamente que el exchange utilizaba para salvaguardar cientos de millones de dólares en depósitos de clientes. Durante años, Bybit había confiado en el software de almacenamiento, desarrollado por un proveedor de tecnología llamado Safe, incluso cuando otras empresas de seguridad vendían herramientas más especializadas para empresas.
El hackeo provocó una caída libre de los mercados de criptomonedas y socavó la confianza en la industria en un momento crucial. Bajo la administración de Trump, favorable a las criptomonedas, los ejecutivos de la industria están presionando para que se establezcan nuevas leyes y regulaciones de EE. UU. que facilitarían que las personas inviertan sus ahorros en monedas digitales. El viernes, la Casa Blanca tiene previsto celebrar una "cumbre de criptomonedas" con el presidente Trump y altos funcionarios de la industria.
Los expertos en seguridad de criptomonedas dijeron que estaban preocupados por lo que el atraco reveló sobre los protocolos de seguridad de Bybit. Las pérdidas eran "completamente evitables", escribió una firma de seguridad en un análisis de la violación, argumentando que "no debería haber sucedido".
La herramienta de almacenamiento de Safe es ampliamente utilizada en la industria de las criptomonedas. Pero es más adecuado para los aficionados a las criptomonedas que los exchanges que manejan miles de millones en depósitos de clientes, dijo Charles Guillemet, ejecutivo de Ledger, una firma francesa de seguridad de criptomonedas que ofrece un sistema de almacenamiento diseñado para empresas.
"Esto realmente tiene que cambiar", dijo. "No es una situación aceptable en 2025".
En Bybit, el hackeo desencadenó 48 horas frenéticas. La compañía supervisa hasta USD 20 mil millones en depósitos de clientes, pero no tenía suficiente Ether disponible para cubrir las pérdidas del atraco de USD 1.5 mil millones. Zhou, de 38 años, se apresuró a mantener el negocio a flote pidiendo prestado a otras empresas y recurriendo a las reservas corporativas para satisfacer una oleada de solicitudes de retiro. En las redes sociales, parecía sorprendentemente relajado, anunciando unas horas después del robo que sus niveles de estrés "no eran tan malos".
A medida que se desarrollaba la crisis, el precio de Bitcoin, un referente para la industria, se desplomó un 20 por ciento. Fue la caída más pronunciada desde la quiebra de FTX en 2022, el exchange dirigido por el magnate caído en desgracia Sam Bankman-Fried.
En una entrevista esta semana, el Sr. Zhou reconoció que
Bybit había advertido con anticipación sobre posibles problemas con Safe. Tres o cuatro meses antes del hackeo, dijo,
la compañía notó que el software no era totalmente compatible con uno de sus otros servicios de seguridad.
"Deberíamos habernos actualizado y alejarnos de Safe", dijo Zhou. "Definitivamente estamos buscando hacer eso ahora".
Rahul Rumalla, director de productos de Safe, dijo en un comunicado que su equipo había creado nuevas características de seguridad para proteger a los usuarios y que los productos de Safe eran "la columna vertebral de la tesorería para algunas de las organizaciones más grandes en el espacio".
"Nuestro trabajo no es solo arreglar lo que sucedió", dijo Rumalla, "sino asegurarnos de que todo el espacio aprenda de ello, para que esto no vuelva a suceder".
Fundada en 2018, Bybit opera como un mercado de criptomonedas, donde los day traders y los inversores profesionales pueden convertir sus dólares o euros en Bitcoin y Ether. Muchos inversores tratan a exchanges como Bybit como bancos informales, donde depositan tenencias de criptomonedas para su custodia.
Según algunas estimaciones, Bybit es el segundo exchange de criptomonedas más grande del mundo, procesando decenas de miles de millones de dólares todos los días. Con sede en Dubái, no ofrece servicios a clientes de Estados Unidos.
El 21 de febrero, Zhou estaba en su casa en Singapur, terminando un trabajo, dijo en la entrevista.
Pero primero, él y otros dos ejecutivos necesitaban firmar una transferencia de criptomonedas de una cuenta a otra. Se supone que estas transferencias rutinarias son seguras: ninguna persona en Bybit puede ejecutarlas, lo que crea múltiples capas de protección contra los ladrones.
Sin embargo, tras bambalinas, un grupo de hackers ya había irrumpido en el sistema de Safe, según la auditoría de Bybit sobre el hackeo.
Habían comprometido una computadora que pertenecía a un desarrollador de Safe, dijo una persona con conocimiento del asunto, lo que les permitió plantar código malicioso para manipular las transacciones.
Un enlace enviado a través de Safe invitó al Sr. Zhou a aprobar la transferencia. Era una treta. Cuando firmó, los piratas informáticos tomaron el control de la cuenta y robaron USD 1.5 mil millones en criptomonedas.
Las salidas repentinas aparecieron en la cadena de bloques, un libro de contabilidad público de transacciones de criptomonedas. Los analistas de criptomonedas identificaron rápidamente al culpable como Lazarus Group, un sindicato de piratas informáticos respaldado por el gobierno de Corea del Norte.
Esa noche, Zhou fue a la oficina de Bybit en Singapur para manejar la crisis. Anunció el hackeo en las redes sociales e inició un protocolo de crisis conocido en la empresa como P-1, pulsando un botón para despertar a todos los miembros del equipo de liderazgo.
Alrededor de la 1 a.m., el Sr. Zhou apareció en una transmisión en vivo en X, bebiendo un Red Bull. Prometió a los clientes que Bybit seguía siendo solvente.
"Incluso si esta pérdida de hackeo no se recupera, todos los activos de los clientes están respaldados 1 a 1", dijo en una publicación. "Podemos cubrir la pérdida".
Esas garantías no son suficientes. En cuestión de horas, dijo Zhou, aproximadamente la mitad de las monedas digitales depositadas en la plataforma, o cerca de 10.000 millones de dólares, habían sido retiradas. El mercado de las criptomonedas se desplomó.
Para limitar el daño, otras empresas de criptomonedas se ofrecieron a ayudar. Gracy Chen, la directora ejecutiva de un exchange rival, Bitget, le prestó a Bybit 40,000 en Ether, o aproximadamente USD 100 millones, sin solicitar ningún interés o incluso garantía.
"Nunca cuestionamos su capacidad para devolvernos el dinero", dijo Chen.
Entre las reuniones de crisis, el Sr. Zhou proporcionó un comentario continuo sobre X. Compartió capturas de pantalla de una aplicación de salud, mostrando que sus niveles de estrés eran sorprendentemente normales.
"Demasiado concentrado al mando de todas las reuniones. Olvidé estresarme", escribió. "Creo que llegará pronto, cuando empiece a comprender realmente el concepto de perder 1.500 millones de dólares".
Después de saquear Bybit, los piratas informáticos norcoreanos distribuyeron los fondos robados a través de una vasta red de billeteras criptográficas en línea, una estrategia de lavado de dinero que también habían empleado después de otros atracos.
"Lazarus Group está en otro nivel", escribió Haseeb Qureshi, un inversor de riesgo, en X después del robo.
Los expertos en seguridad culparon a Bybit por ponerse en riesgo. Para autorizar la transferencia de rutina que condujo al hackeo, dijo Zhou, utilizó una herramienta de hardware diseñada por Ledger, la firma de seguridad de criptomonedas. El dispositivo no estaba sincronizado con Safe, dijo. Por lo tanto, no podía usar la herramienta para verificar los detalles completos de la transacción que estaba aprobando, siempre una práctica arriesgada en el mundo de las criptomonedas.
"Safe simplemente no te da el tipo de controles que querrías si vas a hacer transferencias operativas con frecuencia", dijo Riad Wahby, profesor de ingeniería informática en la Universidad Carnegie Mellon y cofundador de la firma de seguridad digital Cubist.
Zhou dijo que desearía haber tomado medidas antes para reforzar las defensas de Bybit. "Ahora hay muchos arrepentimientos", dijo. "Debería haber prestado más atención a esta área".
Aun así, Bybit continuó operando después del hackeo, procesando todos los retiros en 12 horas, dijo Zhou. Poco después de la violación, anunció en X que la compañía estaba moviendo otros USD 3 mil millones en criptomonedas.
"Esta es una maniobra planificada, para su información", escribió. "Esta vez no nos han hackeado".