Analistas e investigadores especializados vinculan el ciberataque al grupo norcoreano Lazarus y sostienen que los atacantes lavaron los fondos robados en cientos de direcciones blockchain.
El exchange de criptomonedas Bybit sufrió el pasado fin de semana el mayor robo de activos digitales de la historia, con una pérdida estimada superior a los 1.500 millones de dólares en Ethereum (ETH) y stETH.
El ciberataque, ocurrido el viernes 21 de febrero, fue ejecutado a través de una manipulación de la interfaz de firma de la billetera fría multifirma de Bybit, lo que permitió a los atacantes redirigir los fondos a una dirección desconocida.
El CEO de Bybit, Ben Zhou, aseguró que «todas las demás billeteras frías son seguras» y que la plataforma sigue siendo solvente, garantizando que los activos de los clientes están respaldados 1 a 1.
A pesar de la magnitud del ataque y una ola masiva de 580 mil solicitudes de retiro tras conocerse el incidente, la operación del exchange no se vio interrumpida.
Investigadores de blockchain han rastreado el robo hasta el grupo norcoreano de hackers Lazarus. Un analista de fraudes criptográficos identificado en su cuenta de X como “ZachXBT”, fue citado por varios medios especializados en ciberseguridad porque sostiene que los atacantes enviaron parte de los fondos a una dirección de Ethereum previamente utilizada en ciberataques contra otras plataformas como Phemex, BingX y Poloniex.
«Hoy, cuando se blanquearon fondos del hackeo de Bybit, el ataque a Poloniex también se vinculó en cadena en la dirección de consolidación 0x15ec», reveló ZachXBT, señalando que esto conecta al menos cuatro incidentes con un mismo actor malicioso.
Expertos de la firma de inteligencia en blockchain, TRM Labs, confirmaron a los medios «con alta confianza» que el grupo Lazarus está detrás del robo, basándose en patrones de comportamiento y superposiciones entre direcciones utilizadas en ataques previos. Por su parte, la empresa de análisis blockchain Elliptic indicó que los hackers ya han distribuido los fondos robados en cientos de billeteras para dificultar su rastreo.
Una de las plataformas involucradas en el proceso de lavado de los fondos es eXch, un mezclador centralizado. Según ZachXBT, los hackers utilizaron eXch para transferir los activos robados y convertir parte de ellos en Bitcoin mediante Chainflip.
«El equipo de eXch envió accidentalmente 34 ETH ($96K) a la billetera activa de otro exchange tras lavar más de $35 millones para el Grupo Lazarus», explicó ZachXBT.
Sin embargo, la empresa eXch negó las acusaciones, declarando que «NO está lavando dinero para Lazarus/DPRK» y que la porción de fondos provenientes del hackeo de Bybit que procesó fue «insignificante». La empresa aseguró que cualquier tarifa derivada de esas transacciones será donada para «el bien público».
Hasta de este ciberataque, el mayor incidente registrado había sido el robo de 620 millones de dólares en criptomonedas en 2022 contra el Ronin Bridge de Axie Infinity, también atribuido a Lazarus. Con una pérdida de más de 1.500 millones de dólares, este incidente supera ampliamente el récord anterior.
Algunos analistas estiman que los actores de amenazas norcoreanos robaron 1.340 millones de dólares en criptomonedas durante el año pasado.
Las investigaciones continúan en curso, y tanto Bybit como las empresas de seguridad blockchain trabajan en la recuperación de los fondos, aunque el desenlace es incierto.