El FBI ha confirmado que hackers norcoreanos robaron $1.5 mil millones de la plataforma de criptomonedas Bybit el pasado viernes, marcando el mayor robo de criptomonedas registrado hasta la fecha.
El FBI también instó a operadores de nodos RPC, exchanges, puentes, servicios DeFi y firmas de análisis de blockchain a bloquear las transacciones provenientes de direcciones utilizadas por los hackers para lavar los activos robados.
¿Cómo ocurrió el ataque?
El grupo de hackers patrocinado por el Estado norcoreano rastreado como TraderTraitor, Lazarus Group y APT38 interceptó una transferencia programada de fondos de una billetera fría de Bybit a una billetera caliente, desviando posteriormente los fondos a una dirección de blockchain bajo su control.
“La Oficina Federal de Investigaciones (FBI) emite esta advertencia pública para informar que la República Popular Democrática de Corea (Corea del Norte) fue responsable del robo de aproximadamente $1.5 mil millones en activos virtuales de la plataforma de criptomonedas Bybit, alrededor del 21 de febrero de 2025“, declaró el FBI en un comunicado oficial publicado el miércoles.
“Los actores de TraderTraitor han movido rápidamente los activos robados, convirtiendo parte en Bitcoin y otras criptomonedas, dispersándolos en miles de direcciones en múltiples blockchains. Se espera que estos fondos sigan siendo lavados hasta convertirse en moneda fiduciaria.”
Vínculos con el Grupo Lazarus
El investigador de fraudes en criptomonedas ZachXBT descubrió múltiples conexiones con el grupo Lazarus, luego de detectar que los atacantes enviaron parte de los fondos robados de Bybit a una dirección de Ethereum previamente utilizada en los hacks de Phemex, BingX y Poloniex, todos atribuidos a los hackers norcoreanos.
Los hallazgos de ZachXBT fueron confirmados por las firmas de análisis de blockchain Elliptic y TRM Labs, que encontraron evidencia de que los hackers intentaron dificultar el rastreo de los fondos y detectaron “superposiciones sustanciales” entre las direcciones utilizadas en el robo de Bybit y las de ataques previos de Corea del Norte.
El punto de acceso: Safe Wallet
El miércoles, el CEO de Bybit, Ben Zhou, compartió dos informes forenses preliminares de la firma de ciberseguridad Sygnia y la compañía de seguridad financiera Verichains, quienes determinaron que el ataque se originó a través de la infraestructura de Safe{Wallet}, una plataforma de billeteras multisig.
La Safe Ecosystem Foundation confirmó los hallazgos, explicando que los hackers comprometieron un equipo de desarrollo de Safe{Wallet} lo que les permitió acceder a una cuenta operada por Bybit.
“El análisis forense del ataque dirigido al Safe de Bybit concluyó que los hackers de Lazarus lograron explotar un equipo de desarrollo comprometido de Safe{Wallet}, lo que resultó en la aprobación de una transacción maliciosa disfrazada“, explicó Safe en su declaración.
Lista negra de direcciones de Lazarus
El FBI publicó 51 direcciones de los fondos robados de Bybit y que han sido vinculadas al **Grupo Lazarus.
Para poner en perspectiva la magnitud de este robo, la firma de análisis de blockchain Chainalysis informó que los hackers norcoreanos robaron $1.34 mil millones en 47 ataques a plataformas cripto a lo largo de 2024.