Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 221Secuestro de frontend

Robo de Bybit

JavaScript malicioso en la UI de Safe{Wallet} drenó 401.000 ETH ($1,46B) de una transferencia desde cold wallet de Bybit, el mayor robo cripto.

Fecha
Víctima
Bybit
Cadena(s)
Ethereum
Estado
Fondos robados
Atribución
TraderTraitor / Lazarus Group (DPRK)

El 21 de febrero de 2025, Bybit perdió aproximadamente 401.000 ETH — unos 1,46 mil millones de dólares en el momento — en lo que sigue siendo el mayor robo único de criptomonedas jamás registrado. El ataque no rompió la wallet de Bybit, su proceso de firma ni su custodia de claves. Rompió la interfaz de usuario que miraban los firmantes de Bybit.

Qué ocurrió

El exchange estaba preparando una transferencia rutinaria desde una cold wallet multifirma de Ethereum a una warm wallet. La wallet era una instancia de Gnosis Safe gestionada vía la interfaz web de Safe{Wallet}.

Días antes, un desarrollador en Safe — la empresa que mantiene el frontend de Safe{Wallet} — había sido víctima de ingeniería social. Los atacantes comprometieron la estación de trabajo del desarrollador, robaron tokens de sesión AWS, y usaron esas credenciales temporales para evadir MFA y alcanzar el entorno AWS de producción de Safe{Wallet}.

Desde dentro del pipeline de despliegue de Safe, reemplazaron una pieza de JavaScript del frontend con código dirigido a la dirección Safe específica de Bybit. Cuando los firmantes de Bybit revisaron la transacción pendiente en su navegador, la UI mostró la inocua transferencia a warm wallet que esperaban. La transacción que en realidad se enviaba a sus hardware wallets, sin embargo, era un delegatecall que sobrescribía el contrato de implementación de la Safe — entregando al atacante control total de la wallet.

Tres firmas después, los 401.000 ETH habían desaparecido.

Consecuencias

  • El FBI atribuyó públicamente el robo a TraderTraitor, un subgrupo del Grupo Lazarus norcoreano, en cuestión de días.
  • A mediados de marzo, los investigadores on-chain reportaron que los atacantes habían convertido ~86% del ETH robado a BTC y lo estaban blanqueando a través de puentes cross-chain y mezcladores.
  • Bybit consiguió ~50.000 ETH en préstamos puente de emergencia de competidores y resarció a todos los clientes en sus retiradas.
  • Safe publicó un post-mortem y revisó sus controles de integridad de la UI de firma.

Por qué importa

Bybit es el estudio de caso fundacional para todo un nuevo modelo de amenaza: la UI de la wallet es parte de la frontera de confianza. La firma con hardware wallet asume que el humano puede leer la transacción; si la pantalla que muestra la transacción está comprometida, las hardware wallets no te salvan. Varias plataformas de custodia han añadido desde entonces displays independientes de simulación de transacciones, verificación por segundo canal y prompts de firma basados en hash en respuesta directa.

Fuentes y evidencia on-chain

  1. [01]fbi.govhttps://www.fbi.gov/news/press-releases/fbi-dc3-and-npa-identification-of-north-korean-cyber-actors-tracked-as-tradertraitor-responsible-for-theft-of-308-million-from-bitcoindmmcom
  2. [02]nccgroup.comhttps://www.nccgroup.com/research/in-depth-technical-analysis-of-the-bybit-hack/
  3. [03]csis.orghttps://www.csis.org/analysis/bybit-heist-and-future-us-crypto-regulation

Registros relacionados