Por: Stan Kaminsky
Kaspersky Lab
Conclusiones para los tenedores habituales de criptomonedas del mayor robo de criptomonedas de la historia.
El 21 de febrero fue un día oscuro para el mercado de criptomonedas, ya que sufrió el mayor robo de su historia. Los atacantes se llevaron alrededor de 1500 millones de dólares de Bybit, el segundo exchange de criptomonedas más grande del mundo, y los expertos lo citan como el robo más grande (de cualquier tipo) de todos los tiempos. Aunque ni esta pérdida ni la retirada de otros 5 mil millones de dólares por parte de inversores presas del pánico fueron fatales para Bybit, el incidente subraya los defectos fundamentales del ecosistema criptográfico moderno y ofrece algunas lecciones valiosas para los usuarios habituales.
Cómo robaron a Bybit
Al igual que todos los principales exchanges de criptomonedas, Bybit protege las criptomonedas almacenadas con protección de múltiples capas. La mayoría de los fondos se almacenan en carteras frías desconectadas de los sistemas en línea. Cuando es necesario recargar los activos actuales, la suma requerida se mueve manualmente de la cartera fría a la caliente y la operación es firmada por varios empleados a la vez. Para ello, Bybit utiliza una solución de firma múltiple (multisig) de Safe{Wallet}, y cada empleado involucrado en la transacción la firma utilizando una criptoclave de hardware Ledger privada.
Los atacantes estudiaron el sistema en detalle y, según investigadores independientes, comprometieron una máquina de desarrolladores de Safe{Wallet}. Presumiblemente, se realizaron modificaciones maliciosas al código para mostrar las páginas de la aplicación web Safe{Wallet}. Pero la bomba lógica que había en su interior se activaba solo si el origen de la transacción coincidía con la dirección del contrato de Bybit; de lo contrario, Safe{Wallet} funcionaba como de costumbre. Tras realizar su propia investigación, los propietarios de Safe{Wallet} rechazaron las conclusiones de las dos empresas independientes de seguridad de la información, insistiendo en que su infraestructura no había sido pirateada.
¿Y entonces qué pasó? Durante una recarga rutinaria de 7 millones de dólares a una cartera caliente, los empleados de Bybit vieron en las pantallas de sus ordenadores esa cantidad exacta y la dirección del destinatario, que coincidía con la dirección de la cartera caliente. ¡Pero en su lugar se enviaron otros datos para firmar! Para transferencias regulares, la dirección del destinatario puede (¡y debe!) verificarse en la pantalla del dispositivo Ledger. Pero cuando se firman transacciones multisig, esta información no se muestra, por lo que los empleados de Bybit básicamente realizaron una transferencia a ciegas.
Como resultado, sin darse cuenta dieron luz verde a un contrato inteligente malicioso que trasladó todo el contenido de una de las carteras frías de Bybit a varios cientos de carteras falsas. Tan pronto como se completó la retirada de la cartera de Bybit, parece que el código en el sitio web de Safe{Wallet} volvió a la versión inofensiva. Los atacantes están actualmente ocupados “estratificando” el Ethereum robado, transfiriéndolo poco a poco en un intento de blanquearlo.
Al parecer, Bybit y sus clientes fueron víctimas de un ataque dirigido a la cadena de suministro.
El caso de Bybit no es un caso aislado
El FBI ha señalado oficialmente como autor a un grupo norcoreano cuyo nombre en clave es TraderTraitor. En los círculos de seguridad de la información, este grupo también es conocido como Lazarus, APT38 o BlueNoroff. Su estilo característico son los ataques persistentes, sofisticados y sostenidos en el ámbito de las criptomonedas: hackeando a los desarrolladores de carteras, robando en las bolsas de criptomonedas, robando a los usuarios normales e incluso creando juegos falsos de jugar para ganar.
Antes del asalto a Bybit, el récord del grupo era el robo de 540 millones de dólares de la cadena de bloques (blockchain) Ronin Networks, creada para el juego Axie Infinity. En ese ataque de 2022, los ciberdelincuentes infectaron el ordenador de uno de los desarrolladores del juego utilizando una oferta de trabajo falsa en un archivo PDF infectado. Esta técnica de ingeniería social sigue formando parte del arsenal del grupo hasta el día de hoy.
En mayo de 2024, el grupo realizó un robo de más de 300 millones de dólares de la plataforma japonesa de exchange de criptomonedas DMM Bitcoin, que quebró como consecuencia. Antes de eso, en 2020, más de 275 millones de dólares fueron desviados de la plataforma de intercambio de criptomonedas KuCoin, con una “clave privada filtrada” de una cartera caliente citada como la causa.
Lazarus lleva más de una década perfeccionando sus tácticas de robo de criptomonedas. En 2018, escribimos sobre una serie de ataques a bancos y exchanges de criptomonedas que utilizaban una aplicación de comercio de criptomonedas troyanizada como parte de la Operación AppleJeus. Los expertos de Elliptic estiman que los ingresos totales de los delincuentes vinculados a Corea del Norte ascienden a unos 6 mil millones de dólares.
Qué deben hacer los inversores en criptomonedas
En el caso de Bybit, los clientes tuvieron suerte: el exchange atendió rápidamente la ola de solicitudes de retiradas que se produjo y prometió compensar las pérdidas con sus propios fondos. Bybit sigue funcionando, por lo que los clientes no necesitan tomar ninguna medida en particular.
Pero el hackeo demuestra una vez más lo difícil que es proteger los fondos que fluyen a través de los sistemas de cadena de bloques y lo poco que se puede hacer para cancelar una transacción o devolver dinero. Dada la magnitud sin precedentes del ataque, muchos han pedido que la cadena de bloques Ethereum vuelva a su estado anterior al ataque, pero los desarrolladores de Ethereum consideran que esto es “técnicamente imposible”. Mientras tanto, Bybit ha anunciado un programa de recompensas para exchanges de criptomonedas e investigadores éticos por un montante del 10 % de los fondos recuperados, pero hasta ahora solo se han materializado 43 millones de dólares.
Esto ha llevado a algunos expertos de la industria de criptomonedas a especular que la principal consecuencia del ataque será un aumento en la autocustodia de criptoactivos.
La autocustodia traslada la responsabilidad del almacenamiento seguro de los hombros de los especialistas a los tuyos. Por lo tanto, sigue solo este camino si tienes plena confianza en tus capacidades para dominar todas las medidas de seguridad y seguirlas estrictamente día a día. Ten en cuenta que es poco probable que los usuarios habituales sin millones de criptomonedas se enfrenten a un ataque sofisticado dirigido específicamente contra ellos, mientras que los ataques masivos genéricos son más fáciles de esquivar.
Entonces, ¿qué se necesita para la autocustodia segura de criptomonedas?
- Comprar una cartera de hardware con pantalla. Esta es la forma más efectiva de proteger los criptoactivos. Investiga un poco primero y asegúrate de comprar una cartera de un proveedor confiable y directamente: nunca de segunda mano o en un marketplace. De lo contrario, podrías terminar con una cartera ya hackeada que se trague todos tus fondos. Al usar una cartera para firmar transferencias, verifica siempre la dirección del destinatario tanto en la pantalla del ordenador como en la pantalla de la cartera para descartar que haya sido sustituida por un contrato inteligente malicioso o por un troyano clipper que reemplace las direcciones de las criptocarteras en el portapapeles.
- Nunca almacenes frases semilla de cartera en formato electrónico. Olvídate de usar archivos en tu ordenador y fotografías en tu galería para eso: los troyanos modernos han aprendido a infiltrarse en Google Play y App Store, y a reconocer datos en las fotografías almacenadas en tu teléfono inteligente. Solo servirán los registros en papel (o grabados en metal, si lo prefieres) guardados dentro de una caja fuerte o en otro lugar físicamente seguro, protegidos tanto del acceso no autorizado como de los desastres naturales. Podrías considerar múltiples ubicaciones de almacenamiento, así como dividir tu frase semilla en partes.
- No pongas todos los huevos en la misma cesta. Para los poseedores de grandes cantidades o diferentes tipos de activos criptográficos, tiene sentido utilizar varias carteras. Se pueden almacenar pequeñas cantidades para necesidades transaccionales en un exchange de criptomonedas, mientras que la mayor parte se puede dividir en varias criptocarteras de hardware.
- Utiliza un ordenador dedicado. Si es posible, dedica un ordenador a las transacciones de criptomonedas. Restringe físicamente el acceso al ordenador (por ejemplo, guárdalo en una caja fuerte, un armario cerrado o una habitación cerrada con llave), utiliza el cifrado de disco y el inicio de sesión con contraseña, y ten una cuenta independiente con tus propias contraseñas (es decir, diferentes a las de tu ordenador principal). Instala una protección confiable y activa la máxima configuración de seguridad en tu “criptoordenador”. Conéctalo a Internet solo para realizar transacciones y úsalo únicamente para operaciones con carteras. Jugar, leer noticias sobre criptomonedas y chatear con amigos son cosas para otro dispositivo.
- Si dedicar un ordenador es poco práctico o antieconómico, mantén una higiene digital estricta en tu ordenador principal. Configura una cuenta separada con privilegios bajos (de no administrador) para operaciones criptografías y otra cuenta, también de no administrador, para trabajar, chatear o jugar. No es necesario trabajar en modo administrador en absoluto, excepto para actualizar el software del sistema o reconfigurar significativamente el ordenador. Inicia sesión en tu “cuenta criptográfica” dedicada solo para operaciones con carteras y cierra la sesión inmediatamente después. No permitas que personas ajenas accedan al ordenador y no compartas las contraseñas de administrador con nadie.
- Ten cuidado al elegir el software de criptocartera. Estudia atentamente la descripción del software, asegúrate de que la aplicación lleva mucho tiempo en el mercado y verifica que la descarga se realiza desde el sitio web oficial y que la firma digital de la distribución corresponde con el sitio web y el nombre del proveedor. Realiza un análisis profundo de tu ordenador con una solución de seguridad actualizada antes de instalar y ejecutar software de criptocartera.
- Ten cuidado con las actualizaciones. Si bien generalmente recomendamos actualizar todo el software de inmediato, en el caso de las aplicaciones de criptomonedas, vale la pena ajustar un poco esta política. Después del lanzamiento de una nueva versión, espera aproximadamente una semana y lee las reseñas antes de instalarla. Esto dará tiempo a la comunidad para detectar cualquier error o troyano que pueda haberse infiltrado en la actualización.
- Sigue las medidas de seguridad informática mejoradas que se describen en nuestra publicación Protección de las inversiones en criptomonedas: cuatro pasos clave para la seguridad, que incluyen la instalación de una solución de seguridad potente, como Kaspersky Premium, en tu ordenador y teléfono inteligente, la actualización periódica de tu sistema operativo y navegadores, y el uso de contraseñas seguras y únicas.
- Espera el phishing. El fraude con criptomonedas puede ser polifacético y sofisticado, por lo que cualquier mensaje inesperado por correo electrónico, aplicación de servicio de mensajería instantánea y similares debe considerarse el inicio de una estafa. Manténte al tanto de las últimas estafas de criptomonedas siguiendo nuestro blog o nuestro canal de Telegram, así como otras fuentes confiables de ciberseguridad.