El intercambiador centralizado de criptomonedas Bybit fue víctima de un hackeo en el que se sustrajeron aproximadamente $1.4 mil millones en Ethereum (ETH). El incidente ocurrió el 21 de febrero de 2025.

¿Qué es exactamente lo ocurrido?

Aquí hay puntos clave sobre lo que sucedió:

• El ataque: El hacker manipuló la interfaz de firma en Safe, mostrando una dirección legítima mientras alteraba la lógica subyacente del smart contract. Esto le permitió tomar control del wallet afectado y transferir los fondos a un hot wallet no identificado.
• La vulnerabilidad: El CEO de Bybit, Ben Zhou, mencionó que la pantalla del Ledger no mostraba claramente la dirección de destino, sino un bloque de códigos.
• Implicaciones: El hackeo ha generado preocupación en la comunidad cripto sobre la seguridad de los intercambios y la necesidad de medidas de seguridad más robustas.
• Acciones de los hackers: Después del robo, se estima que los hackers norcoreanos del grupo Lázarus tendrían cerca del 0.5% del suministro total de ethers.
• Medidas de seguridad comprometidas: Los atacantes comprometieron los dispositivos utilizados por los operadores de Bybit, permitiéndoles manipular la interfaz de Safe{Wallet}.

¿Cómo ha ocurrido?

El hackeo a Bybit ocurrió a través de una serie de acciones coordinadas que explotaron vulnerabilidades tanto técnicas como humanas.

Aquí hay un desglose de cómo sucedió:

• Compromiso de dispositivos de operadores: Los atacantes comprometieron los dispositivos que usaban los operadores de Bybit. Esto les permitió manipular la interfaz de Safe{Wallet}, engañando a los operadores para que aprobaran transacciones maliciosas.
• Manipulación de la interfaz de firma: El hacker manipuló la interfaz de firma en Safe, mostrando una dirección legítima mientras alteraba la lógica subyacente del smart contract. Esto les permitió tomar control del wallet afectado y transferir los fondos.
• Ingeniería social: Los atacantes utilizaron ingeniería social sofisticada para comprometer los dispositivos de los firmantes. Esto resalta que el error humano es un punto débil en los protocolos de seguridad.
• Firma ciega en carteras de hardware: Las carteras de hardware no mostraron datos detallados de las transacciones, obligando a los operadores a una posición de «firma ciega». Los atacantes aprovecharon esto y mostraron una interfaz falsa que engañó a los firmantes para que aprobaran transacciones fraudulentas.
• Modificación de la lógica del contrato inteligente: El mensaje de firma fue para cambiar la lógica del contrato inteligente de la billetera fría ETH. La modificación de la lógica del contrato inteligente ocasionó que el hacker lograra tomar control de esa dirección multifirma de Bybit que contenía más de 400 mil ethers sin que los firmantes supieran de ella en la interfaz visual del monedero.
• Ataque a la interfaz de Safe: El hacker logró manipular la interfaz de firma de la wallet Safe para engañar a los firmantes de Bybit de modo que aprobaran un cambio en la lógica del contrato inteligente del monedero, lo que permitió el robo de los ethers de la compañía.
• Explotación de la función «delegate call»: Los hackers utilizaron una función «delegate call» para actualizar la implementación del proxy a una nueva que les daba acceso para robar los fondos.
• Hackeo de múltiples usuarios: Dado que Bybit utilizaba un sistema multifirma (3 de 6), los hackers necesitaron comprometer al menos tres billeteras para ejecutar la transacción maliciosa.

En resumen, el ataque fue posible gracias a una combinación de vulnerabilidades técnicas, la manipulación de dispositivos de operadores, y el uso de ingeniería social para engañar a los firmantes.

Medidas tomadas por Bybit

Tras el hackeo que resultó en el robo de $1.4 mil millones en Ethereum, Bybit tomó varias medidas para contener el daño, asegurar la solvencia de la plataforma y tranquilizar a sus usuarios.

Estas son algunas de las medidas que Bybit ha tomado:

• Detención de retiros: Bybit actuó rápidamente al detener los retiros para evitar más pérdidas y contener el daño.
• Investigación exhaustiva: Bybit inició una investigación exhaustiva del incidente para comprender cómo ocurrió el hackeo e identificar las vulnerabilidades explotadas. La empresa colaboró con expertos en seguridad blockchain.
• Colaboración con Safe: Bybit colaboró con Safe (el proveedor de la wallet multifirma) en la investigación del incidente.
• Comunicación transparente: El CEO de Bybit, Ben Zhou, se comunicó de manera transparente con la comunidad a través de redes sociales como X, proporcionando actualizaciones sobre la situación y las medidas que se estaban tomando.
• Garantía de solvencia: Ben Zhou aseguró que Bybit era solvente y que todos los activos de los clientes estaban respaldados 1:1, lo que significa que la plataforma podía cubrir la pérdida incluso si los fondos robados no se recuperaban. Bybit afirmó tener activos bajo gestión (AUM) que superaban los $20 mil millones.
• Préstamo puente: Bybit gestionó un préstamo puente de sus socios para satisfacer específicamente las solicitudes de retiro de Ethereum. La empresa declaró que tenía muchos fondos, pero no en ETH.
• Compra de ETH: Bybit compró más de 100.000 ETH para solventar los fondos perdidos.
• Reembolso a usuarios: Bybit lanzó un programa de reembolso para las víctimas del hackeo.
• Consideración de un «rollback» de Ethereum: Ben Zhou mencionó la posibilidad de un «rollback» de la blockchain de Ethereum para recuperar los fondos robados, aunque señaló que tal decisión requeriría un consenso comunitario.
• Mejoras de seguridad: El hackeo expuso la necesidad de medidas de seguridad más sofisticadas para proteger los activos digitales, incluyendo la adopción de billeteras MPC (Multi-Party Computation) que distribuyen fragmentos de clave entre múltiples partes.
• Llamado a la comunidad: Bybit hizo un llamado a cualquier equipo especializado en análisis blockchain o recuperación de fondos, para que les brinden apoyo.
• Continuidad de operaciones: Bybit insistió en que los otros cold wallets de la plataforma permanecían seguros y que las operaciones, incluidos los retiros (aparte de ETH temporalmente), continuaban con normalidad.

Además de estas medidas inmediatas, el incidente llevó a un debate más amplio sobre la gobernanza y las medidas a tomar en caso de robos masivos en el ecosistema cripto.

Excanges centralizados vs Autocustodia

El hackeo de Bybit ha revivido el debate sobre los exchanges centralizados (CEX) versus la autocustodia en el mundo de las criptomonedas.

Exchanges centralizados (CEX):

• Riesgos de seguridad: El ataque a Bybit, donde se perdieron $1.4 mil millones en ETH, subraya los riesgos de mantener fondos en exchanges centralizados. Estos exchanges son objetivos atractivos para los hackers debido a la gran cantidad de activos que gestionan.
• Vulnerabilidades explotadas: El hackeo de Bybit expuso vulnerabilidades en la seguridad operativa, incluyendo el compromiso de dispositivos de operadores y la manipulación de la interfaz de firma. Los atacantes utilizaron ingeniería social sofisticada para engañar a los firmantes, resaltando que el error humano es un punto débil en los protocolos de seguridad.
• Necesidad de mejorar la seguridad: El incidente destaca la necesidad de que los CEX implementen medidas de seguridad más robustas, como la autenticación multifactor (MFA), el cifrado de datos y el monitoreo continuo de amenazas. También se recomienda el uso de wallets MPC (Multi-Party Computation) distribuidas en lugar de soluciones multi-sig tradicionales.
• Confianza y transparencia: Tras el hackeo, Bybit se esforzó por mantener la confianza de los usuarios, asegurando la solvencia de la plataforma y garantizando los activos de los clientes. La transparencia y la comunicación rápida son cruciales para gestionar la crisis y restaurar la confianza en el exchange.
• Retiro de fondos: Tras el hackeo, algunos usuarios retiraron sus fondos de Bybit, lo que generó congestión en los retiros. La capacidad de Bybit para procesar estos retiros demostró su solvencia, pero también resaltó la importancia de no sobre-asignar fondos a un solo exchange.
• Alternativas para el trading algorítmico: Algunos usuarios de Bybit, especialmente aquellos que utilizan trading algorítmico, están buscando alternativas debido a la incertidumbre tras el hackeo. La diversificación en múltiples exchanges y la exploración de exchanges descentralizados (DEX) son opciones consideradas.

Autocustodia:

• Mayor control: La autocustodia implica que los usuarios tienen el control total de sus claves privadas y, por lo tanto, de sus criptomonedas. Esto reduce el riesgo de perder fondos debido a un hackeo en un exchange centralizado.
• Responsabilidad del usuario: La autocustodia también significa que los usuarios son totalmente responsables de la seguridad de sus fondos. Esto incluye proteger sus claves privadas, evitar el phishing y utilizar wallets con buena reputación.
• Wallets de hardware: Se recomienda el uso de wallets de hardware para la autocustodia, ya que almacenan las claves privadas fuera de línea, reduciendo el riesgo de hackeos. Sin embargo, incluso con wallets de hardware, es crucial verificar cada transacción antes de aprobarla, ya que los hackers pueden comprometer los dispositivos y manipular la información mostrada.
  • Además de Bybit, otros exchanges fueron hackeados en el pasado:
    • Mt. Gox
    • Coincheck
    • FTX
    • WazirX
• Soluciones MPC: Para una mayor seguridad en la autocustodia, se pueden utilizar wallets MPC (Multi-Party Computation) distribuidas, que fragmentan las claves privadas entre múltiples partes, reduciendo el riesgo de que una sola clave comprometida cause una pérdida de fondos.

En resumen:

El hackeo de Bybit sirve como una advertencia sobre los riesgos de los exchanges centralizados y la importancia de la autocustodia. Si bien los CEX ofrecen conveniencia y liquidez, también conllevan riesgos de seguridad significativos. La autocustodia proporciona mayor control y seguridad, pero requiere que los usuarios tomen la responsabilidad total de proteger sus fondos.

El papel de Safe en todo esto

El papel de Safe (anteriormente Gnosis Safe) en el hackeo de Bybit es un punto central, ya que la plataforma proporcionaba la cold wallet multisig utilizada por Bybit para almacenar sus fondos de Ethereum..

Aquí hay un resumen del papel de Safe en el hackeo:

• Proveedor de la Wallet: Bybit utilizaba Safe para su cold wallet Ethereum.
  
• Vulnerabilidad en la Interfaz de Firma: El ataque se produjo a través de la manipulación de la interfaz de firma en Safe, donde los atacantes lograron mostrar información engañosa a los firmantes de la transacción. Los firmantes vieron una dirección legítima, pero en realidad estaban aprobando una transacción maliciosa que alteraba la lógica subyacente del smart contract.
  
• Ingeniería Social y Compromiso de Dispositivos: Los atacantes comprometieron los dispositivos de los operadores de Bybit, lo que les permitió manipular la interfaz de Safe{Wallet}. Esto sugiere que, aunque Safe proporcionó una solución de wallet multisig, la seguridad de los dispositivos que accedían a la wallet era un punto débil.
  
  
• Respuesta de Safe: Tras el hackeo, Safe pausó temporalmente ciertas funcionalidades por precaución mientras investigaba el incidente. Safe afirmó que su equipo de seguridad no encontró evidencia de que el hackeo fuera el resultado de un exploit del frontend oficial de Safe.
  
• Posible Causa del Hackeo: Bybit dijo que una posible vulnerabilidad en la interfaz de usuario de la plataforma Safe.global pudo haber sido explotada durante el proceso de transacción.

En resumen, si bien Safe proporcionó la solución de wallet multisig, el hackeo de Bybit reveló que la seguridad no dependía únicamente de la plataforma Safe.

Posible Rollback de Ethereum

El CEO de Bybit, Ben Zhou, consideró la posibilidad de un «rollback» (reversión) de la blockchain de Ethereum como una medida para recuperar los fondos robados en el hackeo de $1.4 mil millones.

Aquí algunos puntos clave sobre esta posibilidad:

• Definición de «rollback»: Un «rollback» en el contexto de las criptomonedas significa revertir la cadena de bloques a un estado anterior, eliminando transacciones específicas, en este caso, aquellas relacionadas con el robo de Bybit.
• Precedente histórico: Ya ha habido un rollback en Ethereum: en 2016, tras el hackeo de The DAO, la comunidad optó por una bifurcación dura («hard fork») que revirtió las transacciones fraudulentas, dando origen a Ethereum Classic como una cadena paralela.
• Propuesta de Samson Mow: Samson Mow, CEO de JAN3, sugirió crear una red separada llamada «ETHNK» para aislar a los hackers norcoreanos y revertir la cadena principal a un estado anterior al hackeo. La cadena revertida conservaría el ticker original «ETH», mientras que la red con los fondos robados se llamaría «ETHNK».
• Implicaciones y controversia: Un «rollback» de Ethereum es una medida controvertida que requeriría un consenso comunitario. Esto podría poner en duda la inmutabilidad de la blockchain, un principio fundamental de la descentralización. Además, podría dividir a la comunidad, lo que conllevaría a una pérdida de confianza y un riesgo de hard fork, como ocurrió tras el hackeo de The DAO en 2016.
• Opinión de Ben Zhou: Zhou reconoció que un «rollback» no es una decisión que pueda tomar una sola persona y que debería someterse a un proceso de votación comunitaria.
• Dificultades técnicas: Un desarrollador de Ethereum detalló las barreras técnicas para revertir el hackeo.
• Requisitos para la viabilidad del «rollback»: Para que un «rollback» sea viable, se requiere que Vitalik Buterin y la comunidad de desarrolladores lo aprueben y anuncien públicamente, y que los usuarios de Ethereum estén dispuestos a aceptar la incertidumbre y los riesgos que un fork podrían ocasionar en el precio de Ethereum.
• Consideraciones geopolíticas: El hackeo de Bybit ha sido interpretado por algunos analistas como un asunto de seguridad nacional para Estados Unidos, dado que los fondos robados podrían estar financiando actividades estatales norcoreanas, lo que produce una presión política fuerte sobre los directivos de Ethereum.
• Riesgos para la credibilidad de Ethereum: Un «rollback» podría afectar la credibilidad de Ethereum como un sistema resistente a la censura y contribuir a la percepción de que Ethereum es una red maleable ante presiones políticas.

Cronología de Eventos (Febrero 2025)

• Marzo 2018: Fundación de Bybit.
• 21 de Febrero:Bybit sufre un hackeo masivo a su cold wallet de Ethereum. La cantidad robada inicialmente se reporta en 560 millones de dólares (aproximadamente 400.000 ETH), luego se eleva a 1.4 mil millones de dólares y posteriormente a 1.5 mil millones de dólares.
• El hacker manipula la interfaz de firma del monedero multifirma (multisig) Safe (antes Gnosis Safe) para aprobar un cambio en la lógica del contrato inteligente. Esto permite el desvío de fondos.
• Ben Zhou, CEO de Bybit, confirma el hackeo en X y asegura que Bybit es solvente y respaldará los activos de los clientes 1 a 1. Afirma que las retiradas siguen funcionando con normalidad.
• Bybit afirma tener más de $20 mil millones en activos bajo gestión (AUM) y estar dispuesto a utilizar un préstamo puente si es necesario.
• El hacker mueve los fondos robados a varias billeteras diferentes.
• La comunidad cripto reacciona, con otras figuras como CZ de Binance ofreciendo apoyo.
• Se inician debates sobre la gobernanza de Ethereum y la posibilidad de un rollback.
• 22 de Febrero:Ben Zhou menciona la posibilidad de un rollback de la blockchain de Ethereum para recuperar los fondos, reconociendo que esta decisión debería someterse a votación comunitaria.
• Samson Mow afirma estar en conversaciones con Vitalik Buterin sobre un posible fork de Ethereum para aislar a los hackers norcoreanos en una red separada llamada «ETHNK».
• Se revela que Bybit solicitará un préstamo para cubrir las pérdidas y asegurar la liquidez para los usuarios.
• 23 de Febrero:Se informa que Bybit está comprando más de 100,000 ETH para solventar los fondos perdidos.

Elenco de Personajes

• Ben Zhou: Fundador y CEO de Bybit. Es la figura principal que comunica la respuesta de la empresa al hackeo, asegurando la solvencia de Bybit y considerando opciones como el rollback.
• CZ (Changpeng Zhao): CEO de Binance. Ofrece apoyo a Bybit tras el hackeo.
• Sandy Carter: Colaboradora de Forbes Digital Assets y COO de Unstoppable Domains. Comenta sobre la posibilidad de que el hackeo de Bybit pudiera haberse evitado.
• Samson Mow: CEO de JAN3 y defensor de Bitcoin. Propone un fork de Ethereum en colaboración con Vitalik Buterin para crear una red aislada para los hackers norcoreanos («ETHNK»).
• Vitalik Buterin: Co-fundador de Ethereum. Mantenido en conversación por Samson Mow sobre un posible fork de la red ethereum.
• Equipo Lazarus: Grupo de hackers norcoreanos. Se atribuye el hackeo de Bybit.