¿El mayor robo de criptomonedas de la historia? Por qué el ataque Bybit de Lazarus hace que Mt. Gox parezca pequeño

• Colin Wu reveló que el hackeo de Bybit, valorado en 1.500 millones de dólares, tuvo su origen en la brecha de AWS de Safe, trasladando la culpa de la bolsa al proveedor de monederos Safe.
• Lazarus de Corea del Norte se infiltró en el frontend de Safe a través de credenciales robadas en la nube, exponiendo fallos multisig en los que se basa la cartera de Vitalik Buterin.

El 26 de febrero de 2025 , el periodista financiero Colin Wu reveló un giro inesperado en el hackeo de 1.500 millones de dólares del que se había informado anteriormente en la plataforma de criptomonedas Bybit, que The Guardian había etiquetado como el mayor robo digital de la historia (23 de febrero de 2025).

Dos informes, publicados por Bybit y Safe, concluían que la responsabilidad no recaía en Bybit, sino en una vulnerabilidad del sistema de Safe. Safe proporciona monederos multisig utilizados por múltiples intercambios, incluido Bybit.

Según Wu, el grupo de piratas informáticos norcoreano Lazarus se infiltró en el frontend de Safe inyectando código malicioso. La brecha se originó a partir de credenciales AWS S3 o CloudFront expuestas o robadas vinculadas a SafeGlobal, lo que permitió a los atacantes manipular el sistema.

Este incidente pone de manifiesto los puntos débiles de los monederos multisig, que figuras como Vitalik Buterin han promovido . Buterin supuestamente utiliza Safe para gestionar el 90% de sus tenencias de criptomonedas, como se señala en el hilo de Wu.

La comunidad criptofinanciera ha expresado su preocupación por el hecho de que un desarrollador de Safe tuviera permisos no supervisados para modificar el frontend, como señaló Mudit Gupta de Polygon en sus respuestas. Además, aunque Safe está muy extendido, Bybit fue la única bolsa afectada esa noche.

First recovery in the ByBit hack.

~$43m (15,000 cmETH) has been clawed back from the hacker.

I saw the recovery possibility soon after the hack and SEAL connected me with Mantle/mETH team who made it happen.

Huge shoutout to SEAL, Mantle, and mETH teams for their quick action.

— Mudit Gupta (@Mudit__Gupta) February 22, 2025

Wu sugirió que el ataque se dirigió específicamente a la cartera fría EthereumMultisig de Bybit, lo que plantea dudas sobre los protocolos de seguridad de Bybit y las defensas de Safe frente a actores respaldados por el Estado como Lazarus.

El grupo es famoso por robos de gran repercusión, como la brecha de 615 millones de dólares de Ronin Network en 2022, según Trend Micro.

Financieramente, Safe se enfrenta a retos monumentales: Con 1.500 millones de dólares en juego, su capacidad para cubrir pérdidas sigue siendo incierta. Bybit, que posee 20.000 millones de dólares en activos de clientes, se ha comprometido a reembolsar íntegramente a los usuarios, según declaró su CEO, Ben Zhou, en X.

晕了，感觉是所有人都没想到的结果：

Bybit 和 Safe 两份调查报告发布了，原来不是 Bybit 的锅，而是 safe 的开发人员被入侵了，朝鲜黑客组织 Lazarus 将恶意代码注入 Safe 的前端。SafeGlobal 的 AWS S3 或 CloudFront 帐户/API 密钥泄露或被盗用。

这 15 亿美金 Safe 怎么赔得起。。。…

— Colin Wu (@WutalkWu) February 26, 2025

El incidente ha espoleado el escrutinio de todo el sector sobre los monederos multisig y la seguridad en la nube. Algunos proponen almacenar el código del frontend en la cadena para evitar manipulaciones, como hizo un usuario citando el enfoque de ICP.

Aunque los precios de Ethereum y otras criptomonedas no mostraron una volatilidad inmediata tras la noticia, la confianza en las plataformas multisig puede erosionarse a corto plazo.