CriptoTerror: Hackers de Corea del Norte robaron US$ 1.400 millones en Bybit

El 21/02, el exchange de criptomonedas Bybit fue víctima de un ataque informático que le costó más de US$ 1.400 millones, lo que lo convirtió en el mayor ataque informático en los 15 años de historia de la industria criptográfica. En términos de valor, el ataque individual representó más del 60% de todos los fondos cripto que fueron robados en 2024, según los datos de Cyvers.

Bybit es un intercambio de criptomonedas, fundado por Ben Zhou en marzo de 2018 en Dubái, Emiratos Árabes Unidos. En octubre de 2021, el número total de usuarios registrados en todo el mundo ya había superado los 10 millones. En julio de 2021, Bybit se asoció con el proveedor de verificación de identidad Sumsub para ampliar sus capacidades de verificación de identidad.

Arkham Intelligence ha anunciado que el sabueso de la seguridad onchain ZachXBT ha identificado al Lazarus Group, un grupo de hackers de Corea del Norte, como responsable del ataque a Bybit, por valor de US$ 1.460 millones. Arkham ha puesto en marcha una recompensa para identificar a la persona u organización responsable del ataque de 50.000 ARKM (ARKM), por un valor aproximado de US$ 31.500.

Lazarus Group

Lazarus ha realizado múltiples operaciones a lo largo de los años: interrupción, sabotaje, robo financiero y espionaje. La organización cuenta con grupos 'spin-off', que se especializan en tipos específicos de ataques y objetivos:

Por ejemplo, Azulnoroff, especializado en vulnerar instituciones financieras extranjeras. Por ejemplo el famoso ataque al banco de Bangladesh.

Otro: Andariel, enfocado en atacar organizaciones y empresas de Corea del Sur.

Si bien, tal como lo muestran los datos de Chainalysis, los casos de uso legítimo de las criptomonedas han estado creciendo mucho más rápido que la actividad ilícita, los ataques informáticos y las estafas son frecuentes en el Mundo Cripto.

Lazarus también incluyó la desorientación en algunas de sus campañas. Algunas operaciones fueron disfrazadas de actividades hacktivistas, y grupos como GOP, WhoAmI y New Romanic Army se atribuyeron la responsabilidad de estos supuestos ataques de hacktivismo. También intentaron emular el modus operandi de los hacktivistas desfigurando páginas web y filtrando información.

Lazarus también planta banderas falsas dentro de sus herramientas como otra técnica de distracción. Un ejemplo es la puerta trasera KLIPOD, que utiliza palabras rusas romanizadas para sus comandos de puerta trasera. Si bien es posible que Lazarus tenga miembros de diferentes países, las palabras rusas romanizadas no parecen haber sido escritas por un hablante nativo, y posiblemente se hayan utilizado para confundir a la gente.

Si bien los objetivos de estos ataques varían desde el sabotaje hasta la obtención de ganancias financieras, Lazarus puso cierto esfuerzo en desviar los intentos de atribución hacia otras entidades.

lazarus3.jpg

Corea del Norte es identificado como origen de graves maniobras en la Red.

El ataque

El hack del exchange Bybit provocó una pérdida de US$ 1.460 millones en Ether (ETH) y otros tokens ERC-20 en stake.

ZachXBT detectó el incidente poco después de que se produjera e hizo su presentación a Arkham, "identificando a la organización detrás del ataque utilizando datos on-chain".

Según Blockaid, una plataforma de seguridad onchain, los US$ 1.460 millones robados representan el mayor hackeo de exchanges de criptomonedas de la historia. Dado el tamaño y el alcance del incidente, no fue una sorpresa que la noticia viajara rápidamente a través de la comunidad cripto, suscitando reacciones que van desde el apoyo de otras entidades cripto y llamadas para detener el FUD - miedo, incertidumbre y duda - hasta consejos de seguridad para los usuarios y humor negro.

En respuesta al hackeo, varias criptoentidades y personas expresaron su apoyo a Bybit.

El fundador de la blockchain Tron, Justin Sun, dijo en un post en X que la red estaba ayudando a rastrear los fondos.
El exchange de criptomonedas OKX también desplegó su equipo de seguridad para apoyar la investigación de Bybit, según su director de marketing, Haider Rafique.
La cuenta de X del exchange de criptomonedas KuCoin compartió un mensaje sobre el hackeo, diciendo que estaba en "pleno apoyo de Bybit, su equipo y su CEO Ben Zhou mientras trabajan a través de este desafío".
KuCoin señaló que el cripto "es una responsabilidad compartida" y que "creemos firmemente que la colaboración entre los exchanges es esencial para combatir el cibercrimen y fortalecer la seguridad de toda la industria".

Lazarus-Timeline.jpg

Algunas de las muchas operaciones de Lazarus Group. No es un listado actualizado.

Consejos

Conor Grogan, ejecutivo de Coinbase, escribió en X: "Bybit parece estar procesando retiros sin problemas después de su hackeo. Tienen más de USD 20.000 millones en activos en la plataforma y sus billeteras frías están intactos. Dada la naturaleza aislada del hackeo de la firma y lo bien capitalizada que está Bybit, no espero que haya contagio".

Y continuó:

"Un minuto después de la bancarrota de FTX estaba claro que no tenían fondos para retirar. Sé que todo el mundo tiene trastorno de estrés postraumático, pero Bybit no es una situación como la de FTX, si lo fuera estaría gritándolo. Estarán bien".

Algunos miembros de la comunidad de criptomonedas publicaron consejos de seguridad para los usuarios. “Quit”, vicepresidente de blockchain en Yuga Labs, compartió en X diferentes medidas de seguridad que los usuarios podrían tomar para mantener sus fondos seguros, incluido el uso de firmas múltiples, el uso de billeteras de hardware como firmantes y la ejecución de simulaciones de transacciones.

KuCoin también enfatizó ciertas medidas de seguridad para sus usuarios, incluyendo habilitar la autenticación de dos factores, establecer contraseñas fuertes y únicas y usar claves de acceso.

-----------------------------