El FBI ha confirmado oficialmente que el grupo de hackers norcoreano TraderTraitor (también conocido como Lazarus y APT38) es responsable del robo de criptomonedas valorado en $1.500 millones de la plataforma Bybit, ocurrido el 21 de febrero de 2025. Este incidente se posiciona como uno de los mayores ciberataques en la historia del sector cripto.
Análisis técnico del ataque: Una operación altamente sofisticada
Según investigaciones realizadas por las firmas de ciberseguridad Sygnia y Verichains, los atacantes comprometieron la plataforma Safe{Wallet} mediante una técnica avanzada de inyección de código JavaScript malicioso. El vector de ataque se centró en la interfaz app.safe.global, implementando un código que permanecía dormante hasta activarse bajo condiciones específicas, lo que permitió evadir los sistemas de detección durante un período prolongado.
Vectores de compromiso y propagación del ataque
La investigación revela que el punto inicial de compromiso fue la estación de trabajo de un desarrollador de Safe{Wallet}, proporcionando acceso no autorizado al bucket AWS S3 de la plataforma. Es crucial destacar que la infraestructura principal de Bybit permaneció segura, siendo el sistema de gestión de billeteras de terceros el punto vulnerable explotado.
Tácticas de lavado de activos digitales
Los investigadores han identificado un patrón sofisticado de movimiento de fondos post-ataque, donde los activos fueron rápidamente convertidos a Bitcoin y otras criptomonedas, distribuyéndose entre miles de direcciones en múltiples cadenas de bloques. El FBI ha publicado una lista de 51 direcciones Ethereum vinculadas a los fondos sustraídos, instando a los servicios cripto a implementar controles sobre estas carteras.
Implementación de medidas preventivas y lecciones aprendidas
Safe Ecosystem Foundation ha implementado una reconstrucción completa de su infraestructura, incluyendo la rotación de todas las credenciales de acceso. Este incidente resalta la importancia crítica de mantener rigurosos controles de seguridad en servicios de terceros integrados en plataformas cripto, especialmente en componentes críticos como la gestión de billeteras.
Este ataque marca un precedente en la evolución de las amenazas contra el sector cripto, evidenciando la necesidad de implementar estrategias de seguridad más robustas. Se recomienda a las organizaciones del sector adoptar un enfoque de seguridad multicapa, incluyendo auditorías regulares de código, evaluaciones de seguridad de terceros y sistemas avanzados de detección y respuesta a incidentes. La colaboración entre entidades del sector y autoridades resulta fundamental para prevenir y mitigar futuros ataques de esta magnitud.
