Calificado como un golpe sin precedentes, un increíble ataque ha resultado en el robo de la asombrosa cifra de 1.300 millones de euros. ¿Qué es lo que ha ocurrido y quién está detrás?.
Esta historia tiene mucho qué contar. Yendo por partes, aquí la víctima no se trata de una persona si no de Bybit, una de las plataformas de intercambio de criptomonedas más grandes del mundo, con más de 40 millones de usuarios.
En este caso, los hackers consiguieron acceder a la billetera fría de Ethereum de la compañía, considerada el sistema más seguro para almacenar claves de acceso a criptomonedas. Pero, ¿cómo lograron saltarse todas las medidas de seguridad?
Atacaron la billetera fría de Ethereum, también llamada cold wallet, que, en pocas palabras, es un sistema sin conexión a internet que guarda las claves de acceso a las criptomonedas y considerado el más seguro. De hecho, es una billetera multifirma, que necesita de varias autorizaciones para aprobar una transacción.
Al parecer, los directivos de la empresa estaban transfiriendo los fondos de su billetera fría a una hot wallet, una billetera caliente, que guarda las claves en sitios conectados a la red, dentro de un proceso operativo rutinario. Es entonces cuando los atacantes, consiguieron crear una interfaz falsa que imitaba perfectamente la plataforma de administración de billeteras utilizada por Bybit.
Así es como unos hackers consiguieron hacerse con miles de millones en segundos.
El director ejecutivo de la plataforma, Ben Zhou, fue el último en dar el visto bueno a la transacción, pero no la que él pensaba. Esta web falsa tenía direcciones y URL verificadas, lo que hizo que nadie sospechase. Cuando todos los que tenía que firmar la transacción lo hicieron, los hackers desviaron los fondos hacia un lugar desconocido.
En este caso, Bybit trsitemente se dio cuenta de algo no estaba yendo como debería cuando ya era demasiado tarde. Aquí el phishing que llevaron a cabo escala a nuevos niveles de suplantación de identidad con un premio gordo millonario. Sin embargo, no deja de ser la misma técnica de la que ya tanto hemos hablado en Computer Hoy.
Tras el ataque, la firma de investigación Arkham Intelligence detectó que los fondos habían comenzado a moverse a nuevas direcciones y que se estaban vendiendo. Actualmente, la colaboración entre Bybit y otras plataformas ha llevado a bloquear y congelar casi 43 millones de dólares de los fondos robados.
¿Corea del Norte detrás del ataque?.
Tras este episodio, ahora es turno de buscar culpables. Las primeras investigaciones apuntan a que el Grupo Lazarus, un grupo de hackers norcoreanos, podría estar detrás del robo. Según Ari Redbord, director global de política y asuntos gubernamentales en TRM Labs, el ataque siguió paso a paso su modus operandi.
«Los hackers norcoreanos no ocultan sus rastros porque operan fuera del alcance de las fuerzas del orden», comenta. Sin ir más lejos, seguro que este nombre te suena. En 2024 fueron los protagonistas una vulnerabilidad en Windows 11, conocida como CVE-2024-21338 que tuvo en jaque a Microsoft durante demasiado tiempo y que afectó a miles de ordenadores.
Según un reciente estudio de Chainalysis, el Grupo Lazarus ha sido responsable de aproximadamente el 35% de todos los fondos robados en 2024, con un total de 800 millones de dólares en criptomonedas robadas en macro operaciones.
