El Buró Federal de Investigaciones (FBI) de Estados Unidos confirmó que hackers norcoreanos están detrás del robo a Bybit por $1,500 millones de dólares el pasado 21 de febrero, considerado el mayor robo de criptomonedas registrado hasta ahora.
El FBI también alentó a los operadores de nodos RPC, plataformas de intercambio, puentes, servicios DeFi, empresas de análisis de cadenas de bloques y otros proveedores de servicios de criptomonedas a bloquear las transacciones que se originan en direcciones utilizadas por piratas informáticos norcoreanos para blanquear los activos robados.
El pasado viernes, el grupo de ciberdelincuentes patrocinado por el Estado (rastreado como TraderTraitor, Lazarus Group y APT38) interceptó una transferencia programada de fondos desde una de las billeteras frías de Bybit a una billetera caliente, y posteriormente redirigió la criptomoneda a una dirección de cadena de bloques bajo su control.
“La República Popular Democrática de Corea (Corea del Norte) fue responsable del robo de aproximadamente $1,500 millones de dólares en activos virtuales de la plataforma de intercambio de criptomonedas Bybit, el 21 de febrero de 2025 aproximadamente”, dijo el FBI en un anuncio de servicio público emitido el miércoles.
“Los actores de TraderTraitor están procediendo rápidamente y han convertido algunos de los activos robados en Bitcoin y otros activos virtuales dispersos en miles de direcciones en múltiples cadenas de bloques. Se espera que estos activos se laven aún más y finalmente se conviertan en moneda fiduciaria”.
Desde el incidente, el investigador de fraudes criptográficos ZachXBT descubrió múltiples vínculos con el infame grupo de amenazas norcoreano después de que los atacantes enviaran algunos de los fondos robados de Bybit a una dirección de Ethereum utilizada en los ataques a Phemex, BingX y Poloniex previamente vinculados a los piratas informáticos del Grupo Lazarus.
Los hallazgos de ZachXBT fueron confirmados por la firma de análisis de blockchain Elliptic y la compañía de inteligencia de blockchain TRM Labs, quienes compartieron más información sobre los intentos de los piratas informáticos de frenar los intentos de rastreo y encontraron “superposiciones sustanciales observadas entre las direcciones controladas por los piratas informáticos de Bybit y las vinculadas a robos norcoreanos anteriores”.
El miércoles, el CEO de Bybit, Ben Zhou, también compartió dos autopsias preliminares del incidente de la compañía de ciberseguridad Sygnia y la firma de seguridad financiera Verichains, que encontraron que el ataque se originó en la infraestructura operada por la plataforma de billetera multisig Safe{Wallet}.
La Safe Ecosystem Foundation confirmó sus hallazgos, revelando que el ataque se llevó a cabo primero pirateando una máquina de desarrollador de Safe{Wallet}, que proporcionó a los piratas informáticos norcoreanos acceso a una cuenta operada por Bybit.
“La revisión forense del ataque dirigido por el Grupo Lazarus a Bybit concluyó que este ataque dirigido a Bybit Safe se logró a través de una máquina de desarrollador de Safe{Wallet} comprometida, lo que resultó en la propuesta de una transacción maliciosa disfrazada”, dijo Safe.
La agencia federal de aplicación de la ley de EE. UU. también compartió 51 direcciones de Ethereum de quienes tenían o aún tienen criptomonedas robadas de Bybit el viernes y estaban vinculadas a los piratas informáticos de Lazarus.
Para poner en perspectiva la cantidad de criptomonedas robadas en el robo de criptomonedas de Bybit, la empresa de análisis de cadenas de bloques Chainalysis dijo que los piratas informáticos norcoreanos robaron $ 1.34 mil millones en 47 robos de criptomonedas a lo largo de 2024.
Elliptic también agregó la semana pasada que los actores de amenazas norcoreanos han “robado más de $ 6 mil millones en activos criptográficos desde 2017, y las ganancias supuestamente se gastaron en el programa de misiles balísticos del país”.
