El 21 de febrero fue un día oscuro para el mercado de criptomonedas, ya que sufrió el mayor robo de su historia. Los atacantes se llevaron alrededor de 1500 millones de dólares de Bybit, el segundo exchange de criptomonedas más grande del mundo, y los expertos lo citan como el robo más grande (de cualquier tipo) de todos los tiempos. Aunque ni esta pérdida ni el retiro de otros 5 mil millones de dólares por parte de inversores en pánico fueron fatales para Bybit, el incidente subraya las fallas fundamentales del ecosistema criptográfico moderno y ofrece algunas lecciones valiosas para los usuarios habituales.
Cómo robaron a Bybit
Al igual que todos los principales intercambios de criptomonedas, Bybit protege las criptomonedas almacenadas con protección de múltiples capas. La mayoría de los fondos se almacenan en carteras frías desconectadas de los sistemas en línea. Cuando es necesario recargar los activos actuales, la suma requerida se mueve manualmente de la cartera fría a la caliente y la operación es firmada por varios empleados a la vez. Para ello, Bybit utiliza una solución de firma múltiple (multisig) de Safe{Wallet}, y cada empleado involucrado en la transacción la firma utilizando una criptoclave de hardware Ledger privada.
Los atacantes estudiaron el sistema en detalle y, según investigadores independientes, vulneraron una máquina de desarrolladores de Safe{Wallet}. Se presume que se realizaron modificaciones maliciosas al código para mostrar las páginas de la aplicación web Safe{Wallet}. Pero la bomba lógica que había en su interior se activaba solo si el origen de la transacción coincidía con la dirección del contrato de Bybit; de lo contrario, Safe{Wallet} funcionaba como de costumbre. Tras realizar su propia investigación, los propietarios de Safe{Wallet} rechazaron las conclusiones de las dos empresas independientes de seguridad de la información, insistiendo en que su infraestructura no había sido pirateada.
¿Y entonces qué pasó? Durante una recarga rutinaria de 7 millones de dólares a una cartera caliente, los empleados de Bybit vieron en las pantallas de sus ordenadores esa cantidad exacta y la dirección del destinatario, que coincidía con la dirección de la cartera caliente. ¡Pero en su lugar se enviaron otros datos para firmar! Para transferencias regulares, la dirección del destinatario puede (¡y debe!) verificarse en la pantalla del dispositivo Ledger. Pero cuando se firman transacciones multisig, esta información no se muestra, por lo que los empleados de Bybit básicamente realizaron una transferencia a ciegas.
Como resultado, sin darse cuenta dieron luz verde a un contrato inteligente malicioso que trasladó todo el contenido de una de las carteras frías de Bybit a varios cientos de carteras falsas. Tan pronto como se completó el retiro de la cartera de Bybit, parece que el código en el sitio web de Safe{Wallet} volvió a la versión inofensiva. Los atacantes están actualmente ocupados “estratificando” el Ethereum robado, transfiriéndolo poco a poco en un intento de blanquearlo.
Al parecer, Bybit y sus clientes fueron víctimas de un ataque dirigido a la cadena de suministro.
El caso de Bybit no es un caso aislado
El FBI ha señalado oficialmente como autor a un grupo norcoreano cuyo nombre en clave es TraderTraitor. En los círculos de seguridad de la información, este grupo también es conocido como Lazarus, APT38 o BlueNoroff. Su estilo característico son los ataques persistentes, sofisticados y sostenidos en el ámbito de las criptomonedas: pirateando a los desarrolladores de carteras, robando en las bolsas de criptomonedas, robando a los usuarios normales e incluso creando juegos falsos de jugar para ganar.
Antes de la redada de Bybit, el récord del grupo era el robo de 540 millones de dólares de la cadena de bloques (blockchain) Ronin Networks, creada para el juego Axie Infinity. En ese ataque de 2022, los piratas informáticos infectaron el ordenador de uno de los desarrolladores del juego utilizando una oferta de trabajo falsa en un archivo PDF infectado. Esta técnica de ingeniería social sigue formando parte del arsenal del grupo hasta el día de hoy.
En mayo de 2024, el grupo realizó un robo de más de 300 millones de dólares de la plataforma de intercambio de criptomonedas japonesa DMM Bitcoin, que quebró como consecuencia. Antes de eso, en 2020, más de 275 millones de dólares fueron desviados de la plataforma de intercambio de criptomonedas KuCoin, con una “clave privada filtrada” de una cartera caliente citada como la causa.
Lazarus lleva más de una década perfeccionando sus tácticas de robo de criptomonedas. En 2018, escribimos sobre una serie de ataques a bancos y exchanges de criptomonedas que utilizaban una aplicación de comercio de criptomonedas troyanizada como parte de la Operación AppleJeus. Los expertos de Elliptic estiman que los ingresos totales de los delincuentes vinculados a Corea del Norte ascienden a unos 6 mil millones de dólares.
Qué deben hacer los inversores en criptomonedas
En el caso de Bybit, los clientes tuvieron suerte: el exchange atendió rápidamente la ola de solicitudes de retiro que se produjo y prometió compensar las pérdidas con sus propios fondos. Bybit continúa en actividad, por lo que los clientes no necesitan tomar ninguna medida en particular.
Pero el pirateo demuestra una vez más lo difícil que es proteger los fondos que fluyen a través de los sistemas de cadena de bloques y lo poco que se puede hacer para cancelar una transacción o devolver dinero. Dada la magnitud sin precedentes del ataque, muchos han pedido que la cadena de bloques Ethereum vuelva a su estado anterior al ataque, pero los desarrolladores de Ethereum consideran que esto es “técnicamente imposible”. Mientras tanto, Bybit ha anunciado un programa de recompensas para exchanges de criptomonedas e investigadores éticos por un monto del 10 % de los fondos recuperados, pero hasta ahora solo se han materializado 43 millones de dólares.
Esto ha llevado a algunos expertos de la industria de criptomonedas a especular que la principal consecuencia del ataque será un aumento en la autocustodia de criptoactivos.
La autocustodia traslada la responsabilidad del almacenamiento seguro de los hombros de los especialistas a los suyos. Por lo tanto, solo siga este camino si tiene plena confianza en sus capacidades para dominar todas las medidas de seguridad y seguirlas estrictamente día a día. Tenga en cuenta que es poco probable que los usuarios habituales sin millones de criptocartera se enfrenten a un ataque sofisticado dirigido específicamente a ellos, mientras que los ataques masivos genéricos son más fáciles de desviar.
Entonces, ¿qué se necesita para la autocustodia segura de criptomonedas?
- Comprar una cartera de hardware con pantalla. Esta es la forma más efectiva de proteger los criptoactivos. Investigue un poco primero y asegúrese de comprar una cartera de un proveedor confiable y directamente: nunca de segunda mano o en un mercado. De lo contrario, podría terminar con una cartera ya pirateada que se trague todos sus fondos. Al usar una cartera para firmar transferencias, verifique siempre la dirección del destinatario tanto en la pantalla del ordenador como en la pantalla de la cartera para descartar que haya sido sustituida por un contrato inteligente malicioso o por un troyano clipper que reemplace las direcciones de las criptocarteras en el portapapeles.
- Nunca almacene frases semilla de cartera en formato electrónico. Olvídese de usar archivos en su ordenador y fotografías en su galería para eso: los troyanos modernos han aprendido a infiltrarse en Google Play y App Store, y a reconocer datos en las fotografías almacenadas en su teléfono inteligente. Solo servirán los registros en papel (o grabados en metal, si lo prefiere) guardados dentro de una caja fuerte o en otro lugar físicamente seguro, protegidos tanto del acceso no autorizado como de los desastres naturales. Podría considerar múltiples ubicaciones de almacenamiento, así como dividir su frase semilla en partes.
- No ponga todos los huevos en la misma cesta. Para los poseedores de grandes cantidades o diferentes tipos de activos criptográficos, tiene sentido utilizar varias carteras. Se pueden almacenar pequeñas cantidades para necesidades transaccionales en un exchange de criptomonedas, mientras que la mayor parte se puede dividir en varias criptocarteras de hardware.
- Utilice un ordenador dedicado. Si es posible, dedique un ordenador a las transacciones de criptomonedas. Restrinja físicamente el acceso al ordenador (por ejemplo, guárdelo en una caja fuerte, un armario cerrado o una habitación cerrada con llave), utilice el cifrado de disco y el inicio de sesión con contraseña, y tenga una cuenta independiente con sus propias contraseñas (es decir, diferentes a las de su ordenador principal). Instale una protección confiable y active la máxima configuración de seguridad en su “criptoordenador”. Conéctelo a Internet solo para realizar transacciones y úselo únicamente para operaciones con carteras. Jugar, leer noticias sobre criptomonedas y chatear con amigos son cosas para otro dispositivo.
- Si dedicar un ordenador es poco práctico o antieconómico, mantenga una higiene digital estricta en su ordenador principal. Configure una cuenta separada con privilegios bajos (de no administrador) para operaciones criptografías y otra cuenta, también de no administrador, para trabajar, chatear o jugar. No es necesario trabajar en modo administrador en absoluto, excepto para actualizar el software del sistema o reconfigurar significativamente el ordenador. Inicie sesión en su “cuenta criptográfica” dedicada solo para operaciones con carteras y cierre la sesión inmediatamente después. No permita que personas ajenas accedan al ordenador y no comparta las contraseñas de administrador con nadie.
- Tenga cuidado al elegir el software de criptocartera. Estudie atentamente la descripción del software, asegúrese de que la aplicación lleve mucho tiempo en el mercado y verifique que la descarga se realiza desde el sitio web oficial y que la firma digital de la distribución corresponde con el sitio web y el nombre del proveedor. Realice un análisis profundo de su ordenador con una solución de seguridad actualizada antes de instalar y ejecutar software de criptocartera.
- Tenga cuidado con las actualizaciones. Si bien generalmente recomendamos actualizar todo el software de inmediato, en el caso de las aplicaciones de criptomonedas, vale la pena ajustar un poco esta política. Después del lanzamiento de una nueva versión, espere aproximadamente una semana y lea las reseñas antes de instalarla. Esto dará tiempo a la comunidad para detectar cualquier error o troyano que pueda haberse infiltrado en la actualización.
- Siga las medidas de seguridad informática mejoradas que se describen en nuestra publicación Protección de las inversiones en criptomonedas: cuatro pasos clave para la seguridad, que incluyen la instalación de una solución de seguridad potente, como Kaspersky Premium, en su ordenador y teléfono inteligente, la actualización periódica de su sistema operativo y navegadores, y el uso de contraseñas seguras y únicas.
- Espere phishing. El fraude con criptomonedas puede ser polifacético y sofisticado, por lo que cualquier mensaje inesperado por correo electrónico, aplicación de servicio de mensajería instantánea y similares debe considerarse el inicio de una estafa. Manténgase al tanto de las últimas estafas de criptomonedas siguiendo nuestro blog o nuestro canal de Telegram, así como otras fuentes confiables de ciberseguridad.
Lea más sobre las estafas con criptomonedas y las formas de protegerse en nuestras publicaciones dedicadas:
Los ocho robos de criptomonedas más espectaculares de la historia
Los 5 mayores robos de criptomonedas de la historia
Estudio de caso: criptocartera de hardware falsificada
Matanza de cerdos: fraude con criptomonedas a gran escala
Y otros artículos sobre criptomonedas