Múltiples auditorías independientes han señalado la causa del histórico hackeo de $1,400 millones a Bybit ocurrido la semana pasada—considerado el mayor hackeo en la historia de las criptomonedas según el valor de los activos robados—y el problema no estuvo en el exchange de criptomonedas.
En cambio, analistas de Verichains y Sygnia Labs, dos destacadas firmas de ciberseguridad, determinaron que hackers norcoreanos lograron ejecutar el mayor robo de la historia al insertar código malicioso en la infraestructura de Safe, un proveedor de billeteras cripto utilizado por Bybit y que durante mucho tiempo se ha promocionado como “impenetrable”.
Según los informes de ambas firmas de seguridad, los hackers norcoreanos inyectaron código malicioso en JavaScript directamente en la infraestructura en línea de Safe, la cual estaba alojada en Amazon Web Services. Aún no está claro cómo lograron infiltrarse en el código de Safe.
Bybit Hack Forensics Report
— Ben Zhou (@benbybit) February 26, 2025
As promised, here are the preliminary reports of the hack conducted by @sygnia_labs and @Verichains
Screenshotted the conclusion and here is the link to the full report: https://t.co/3hcqkXLN5U pic.twitter.com/tlZK2B3jIW
Quizás para evitar ser detectado, el código estaba diseñado para activarse únicamente cuando interactuara con la dirección de contrato de Bybit. Dos días después, cuando Bybit efectivamente interactuó con Safe, el código se activó y drenó $1,400 millones en Ethereum y otros tokens de la plataforma de intercambio.
Solo dos minutos después del hackeo, los hackers actualizaron la infraestructura de Safe para eliminar las líneas de código malicioso y desaparecieron sin dejar rastro.
En un comunicado compartido con Decrypt, Bybit enfatizó que los primeros informes forenses muestran que la infraestructura del exchange “no fue comprometida” por los hackers norcoreanos.
“Bybit es y sigue siendo 100% seguro”, afirmó la empresa.
El comunicado agregó que Bybit trasladó “la mayoría de los fondos” fuera de las billeteras administradas por Safe en las horas posteriores al ataque del viernes. Sin embargo, la empresa se negó a comentar si planea cortar permanentemente su relación con el proveedor de billeteras.
En cuanto a Safe, ha sido un día complicado en términos de relaciones públicas. En un comunicado publicado en X el miércoles, la compañía reconoció los hallazgos de Verichains y Sygnia, admitiendo que el hackeo se originó por la “comprometida máquina de un desarrollador de Safe Wallet”.
Sin embargo, la empresa aseguró que los informes no señalaron vulnerabilidades en los contratos inteligentes o en el código fuente de la interfaz de Safe. Además, dijo que ha reconstruido y reconfigurado completamente su infraestructura y ha cambiado todas sus credenciales, “garantizando que el vector de ataque ha sido completamente eliminado”.
Damn. Bybit just released their audit report—the compromise was not Bybit, but SAFE's servers. They hot swapped the Gnosis SAFE UI with JS code that ONLY targeted Bybit's cold wallet. Independently confirmed by WaybackMachine snapshots.
— Haseeb >|< (@hosseeb) February 26, 2025
Lazarus Group is on another level. https://t.co/serpfHuS8p
Safe no respondió de inmediato a la solicitud de comentarios de Decrypt para esta historia.
En Crypto Twitter, la noticia generó una fuerte reacción en la industria y preocupaciones sobre los numerosos usuarios y proyectos cripto que dependen de Safe.
“Si esto le pasó a Safe, entonces estamos en una muy mala situación”, escribió Alex Shevcheko, cofundador de Aurora, en un tuit que posteriormente eliminó.
“Esto… es aterrador”, añadió Loopify, un fundador anónimo de juegos cripto.
Taylor Monahan, experta en hackeos cripto relacionados con Corea del Norte y desarrolladora de MetaMask, aconsejó prudencia antes de culpar a alguien en específico.
There are a lot amount of people capitalizing on this hack to sell their fancy multisig, semi-custodial, MPC, blah blah blah product to you.
— Tay 💖 (@tayvano_) February 26, 2025
They say that they would've prevented this hack.
Those products make your attack surface LARGER, not smaller.
Do not believe their lies
“Creo que fue apresurado asumir que la culpa era de Bybit en los primeros cinco días”, dijo a Decrypt. “También sería apresurado dar un giro de 180 grados y decir que la culpa es de Safe en el sexto día”.
Independientemente de quién sea exactamente el responsable del ataque, el hackeo a Bybit solo confirmó el temor de Monahan—del cual ha advertido durante años—de que la industria cripto no ha tomado lo suficientemente en serio la amenaza de actores maliciosos como Corea del Norte.
“He estado gritando sobre esto desde siempre”, dijo Monahan. “Es hora de ponerse realmente serios con la seguridad. Los malos harán cosas inimaginables para infiltrarse porque la recompensa por hacerlo es de millones… ¡miles de millones de dólares!”.
Vía | Safe Wallet comprometido: El mayor robo cripto expone fallos de seguridad – Tecnología con Juancho