The Lazarus Group Heist: los piratas informáticos norcoreanos roban $ 1.4B de Bybit Exchange

TLDR:

• El intercambio de criptomonedas de Bybit sufrió un truco de $ 1.4 mil millones el 21 de febrero de 2025, con atacantes que drenan Ethereum y tokens relacionados de la billetera fría del intercambio
• El Grupo Lázaro de Corea del Norte fue identificado como responsable a través del análisis en la cadena por el investigador criptográfico Zachxbt, quien proporcionó evidencia detallada que incluye transacciones de prueba y conexiones de billetera
• El truco ocurrió durante una transferencia de la billetera fría Multisig ETH a una billetera cálida, donde los atacantes manipularon el proceso de transacción para enmascarar la interfaz de firma
• El CEO de Bybit, Ben Zhou, confirmó que el intercambio sigue siendo solvente y puede cubrir las pérdidas, indicando que todos los fondos del cliente están respaldados 1: 1
• El incidente hizo que el precio de Ethereum cayera en más del 3% a medida que los mercados reaccionaron a uno de los más grandes hacks de criptomonedas en la historia.

Una violación masiva de ciberseguridad Hit de criptomonedas Bybit el 21 de febrero de 2025resultando en el robo de aproximadamente $ 1.4 mil millones en activos digitales. El truco, que se dirigió a la billetera de almacenamiento en frío Ethereum del intercambio, se remonta al grupo de piratería patrocinado por el estado de Corea del Norte conocido como Lázaro.

Los activos robados incluyeron 401,347 ETH valorados en $ 1.12 mil millones, junto con varios otros tokens basados ​​en Ethereum. Las pérdidas adicionales comprendieron 90,376 Steth por valor de $ 253.16 millones, 15,000 CMETH valorados en $ 44.13 millones y 8,000 metanfetamina por un total de $ 23 millones.

La firma de inteligencia de blockchain Arkham Intelligence confirmó la participación del Grupo Lázaro después de recibir evidencia detallada del investigador de criptomonedas Zachxbt. La prueba incluyó un análisis exhaustivo de las transacciones de prueba, actividades de billetera conectadas y patrones de sincronización que coinciden con ataques anteriores atribuidos al grupo.

Breaking: Bybit $ 1 mil millones Hack Bounty resuelto por zachxbt

A las 19:09 UTC hoy @zachxbt presentó pruebas definitivas de que este ataque a BYBIT fue realizado por el Grupo Lazarus.

Su presentación incluyó un análisis detallado de las transacciones de prueba y las billeteras conectadas utilizadas antes de … https://t.co/o43qd2cm2u pic.twitter.com/jtqptxl0c5

– Arkham (@arkham) 21 de febrero de 2025

La violación ocurrió durante lo que debería haber sido una transferencia de rutina de la billetera Cold MultiSig de Bybit a una billetera cálida. Según el cofundador y CEO de BYBIT Ben Zhou, los atacantes emplearon técnicas sofisticadas para manipular el proceso de transacción. Se las arreglaron para enmascarar la interfaz de firma, haciendo que la transacción pareciera legítima mientras alteraba la lógica de contrato inteligente subyacente.

Al descubrir la violación, Bybit activó inmediatamente sus protocolos de seguridad y lanzó una investigación. El intercambio ha solicitado la ayuda de los principales expertos forenses de blockchain para rastrear los fondos robados y está trabajando con varios equipos especializados en análisis de blockchain y recuperación de activos.

En respuesta a las preocupaciones de los clientes, Zhou acudió a la plataforma de redes sociales X para abordar la situación. Hizo hincapié en que todas las otras billeteras frías permanecen seguras y los retiros continúan operando normalmente. «Bybit es solvente incluso si esta pérdida de hack no se recupera, todos los activos del cliente están respaldados por 1 a 1, podemos cubrir la pérdida», dijo Zhou.

El mercado reaccionó rápidamente a las noticias, con el precio de Ethereum cayendo en más de un 3% a $ 2,640 en las horas posteriores al anuncio. El incidente se ubica entre los mayores hacks de criptomonedas en la historia, enviando ondas a través de la comunidad de activos digitales.

El truco se suma a una serie de incidentes de seguridad que han afectado a la industria de las criptomonedas a principios de 2025. A principios de febrero, Zklend, un protocolo de mercado monetario en Starknet, perdió $ 9.5 millones en una exploit, aunque estos fondos luego se devolvieron a través del Protocolio RailGun Protocol .

Investigación continua

BYBIT ha establecido un equipo de seguridad para manejar la investigación en curso y se ha comunicado con otras organizaciones con experiencia en BLOCKchain Analytics. El intercambio sostiene que las operaciones regulares continúan sin interrupciones, y todos los fondos del cliente siguen siendo seguros a pesar de la violación.

Los fondos robados se trasladaron a través de varias transacciones, lo que llevó a los expertos en seguridad de las criptomonedas a la señalización y la lista negra de las direcciones asociadas. Estas medidas tienen como objetivo dificultar que los atacantes conviertan o transfieran los activos robados.

El análisis técnico del truco reveló que los atacantes utilizaron una serie compleja de transacciones para oscurecer sus actividades. La manipulación de la lógica del contrato inteligente les permitió redirigir los fondos mientras mantenían la aparición de transferencias legítimas.

El equipo de seguridad de Bybit ha implementado medidas adicionales para evitar ataques similares en el futuro. El intercambio está revisando sus procedimientos de gestión de billeteras en frío y mejorando sus procesos de verificación de transacciones.

La investigación continúa a medida que los analistas de blockchain trabajan para rastrear el movimiento de los activos robados. Los expertos en seguridad están monitoreando servicios e intercambios conocidos de mezcla de criptomonedas por cualquier intento de convertir los fondos robados.

Las actualizaciones de BYBIT indican que los otros aspectos operativos del intercambio no se ven afectados. El comercio continúa en la plataforma, y ​​el intercambio mantiene sus servicios regulares mientras trabaja para abordar la violación de seguridad.