Hackeo a Bybit por 2 billones de wones: llega la era de las fallas en seguridad operativa

 (blog.trailofbits.com)
3 puntos por GN⁺ 2025-02-23 | 1 comentarios | Compartir por WhatsApp
  • El 21 de febrero de 2025, en el exchange Bybit, una cold wallet multifirma fue hackeada y se filtraron criptomonedas por un valor aproximado de 1.5 mil millones de dólares
  • Los hackers comprometieron los dispositivos de múltiples firmantes y manipularon lo que los firmantes veían en la interfaz de la wallet
  • Los firmantes, creyendo que estaban realizando una transacción normal, proporcionaron los datos de firma que los atacantes querían
  • Esto sugiere que los hackeos recientes a exchanges centralizados están cambiando de ataques a vulnerabilidades de código hacia ataques dirigidos a debilidades de seguridad operativa y humana

Casos recientes de hackeos similares

  • Exchange WazirX (julio de 2024): pérdida de 230 millones de dólares
  • Radiant Capital (octubre de 2024): pérdida de 50 millones de dólares
  • Exchange Bybit (febrero de 2025): pérdida de 1.5 mil millones de dólares

Vinculación con grupos de hackers norcoreanos

  • Según análisis de Arkham Intelligence y ZachXBT, se confirmó que este ataque está relacionado con grupos de hackers de Corea del Norte
  • Estuvieron involucrados grupos de hacking patrocinados por el Estado bajo la Oficina General de Reconocimiento (RGB) de Corea del Norte, como TraderTraitor, Jade Sleet, UNC4899 y Slow Pisces
  • Método de ataque de los grupos de hackers del RGB
    • Apuntan a administradores de sistemas, desarrolladores y personal del equipo financiero mediante campañas de ingeniería social
    • Infectan a personal clave con fraudes de reclutamiento personalizados y ataques de phishing
    • Usan malware multiplataforma para infectar Windows, MacOS y diversas wallets de criptomonedas
    • Manipulan la pantalla de transacción que ve el usuario para inducir la firma

Por qué los sistemas de seguridad existentes quedan anulados

  • Los atacantes mejoran continuamente sus herramientas y técnicas mediante ataques repetidos
  • Razones por las que las medidas de seguridad comunes tienen dificultades para defenderse:
    • Las organizaciones con seguridad operativa deficiente quedan expuestas a un gran riesgo
    • Incluso los sistemas multifirma pueden ser manipulados
    • Se emplean técnicas de ataque difíciles de detectar con soluciones de seguridad tradicionales (EDR, firewalls, etc.)

La nueva realidad de la seguridad cripto

  • Ya no basta con reforzar únicamente la seguridad de los smart contracts
  • Las fallas de seguridad operativa se han convertido en la mayor amenaza
  • Las empresas deben construir estrategias de seguridad partiendo de la premisa de que el hackeo es posible

Estrategias de seguridad que las empresas deben adoptar sí o sí

  • Aislamiento de infraestructura
    • Los sistemas de firma de transacciones deben separarse física y lógicamente de la red operativa general
    • Aplicar hardware y redes dedicados, junto con controles de acceso estrictos
  • Defensa en profundidad (Defense-in-Depth)
    • Combinar hardware wallets, multifirma y herramientas de verificación de transacciones para construir un sistema de seguridad compuesto
    • No basta una sola medida: es indispensable una estrategia de seguridad en capas
  • Medidas de preparación a nivel organizacional
    • Realizar modelado de amenazas operativas y técnicas
    • Llevar a cabo auditorías y evaluaciones externas de seguridad de forma regular
    • Ejecutar periódicamente capacitaciones de seguridad y simulaciones de respuesta a hackeos
    • Establecer un plan concreto de respuesta a incidentes y probarlo con regularidad

Guía de seguridad de Trail of Bits

Conclusión: con la seguridad tradicional ya no alcanza para defenderse

  • El hackeo a Bybit muestra que la seguridad cripto ha entrado en una nueva etapa

  • Sin reforzar la seguridad operativa, es imposible evitar hackeos de gran escala

  • La contundente afirmación de la investigadora de seguridad Tayvano describe con claridad la situación actual:

    "Una vez que un dispositivo se infecta, se acabó. Si la clave está en una hot wallet o en AWS, te hackearán de inmediato. Aunque la clave esté en una cold wallet, el hacker solo tendrá que esforzarse un poco más. De cualquier forma, al final te hackearán."

Medidas que las empresas deben tomar de inmediato

  • Realizar una evaluación de riesgos de seguridad operativa
  • Adoptar infraestructura de firma Air-Gapped
  • Colaborar con equipos de seguridad con experiencia respondiendo a grupos de hacking patrocinados por Estados
  • Establecer un plan de respuesta a incidentes y probarlo periódicamente

"El próximo hackeo de mil millones de dólares es cuestión de tiempo; si no te preparas, el daño será inevitable"

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-02-23
Opinión de Hacker News

  • Incidente reciente relacionado: Bybit perdió 1.500 millones de dólares en un hackeo

    • Los atacantes robaron aproximadamente 1.500 millones de dólares de una billetera de almacenamiento en frío con múltiples firmas
    • Los atacantes comprometieron los dispositivos de varios firmantes y manipularon lo que los firmantes veían en la interfaz de la billetera, reuniendo así las firmas necesarias mientras los firmantes creían que estaban realizando una transacción rutinaria

  • Si los hackers pueden "manipular lo que los firmantes ven en la interfaz de la billetera" mediante acceso remoto, entonces esto no parece almacenamiento en frío

  • Tres formas en que una interacción de múltiples firmas puede ser hackeada:

    • El contrato inteligente de múltiples firmas queda comprometido
    • La computadora que firma queda comprometida
    • La billetera de hardware usada (Ledger, Trezor) queda comprometida

  • El contrato de múltiples firmas llamado Gnosis Safe ha demostrado ser muy sólido, y las billeteras de hardware son muy difíciles de atacar. La debilidad actual es la computadora

  • Las empresas de criptomonedas deben resolver el problema migrando a dispositivos dedicados más cerrados para firmar, y verificando de verdad lo que aparece en la pantalla de la billetera de hardware

  • El mundo de la seguridad en línea es un caos total. En otros campos de la ingeniería casi nunca se apunta explícitamente a cosas construidas por estados extranjeros

    • Por ejemplo, los edificios altos no se diseñan para resistir bombardeos constantes
    • Los automóviles tampoco se diseñan para resistir proyectiles de tanque
    • Si Corea del Norte matara gente o destruyera edificios pequeños con misiles, habría indignación pública y una rápida respuesta militar

  • Pero en línea la situación es distinta. Corea del Norte puede atacar sistemas como quiera, y la reacción principal es: "deberían haber construido un sistema más seguro"

    • La gente de Bybit pudo haber sido más cuidadosa, pero hace falta reconocer lo caótico que es el entorno en línea

  • Esta publicación carece de detalles sobre cómo ocurrió el hackeo

    • Por la forma en que se habla de las herramientas, me pregunto si es correcto entender que engañaron a la gente para que descargara y ejecutara software malicioso

  • Los atacantes comprometieron los dispositivos de varios firmantes y manipularon lo que los firmantes veían en la interfaz de la billetera, reuniendo así las firmas necesarias mientras los firmantes creían que estaban realizando una transacción rutinaria

    • Me pregunto si alguien sabe cuántos firmantes había

  • Pregunta seria desde alguien que casi no sabe nada de cripto: ¿quién perdió realmente dinero en este ataque? ¿Muchas personas individuales?

  • Recuerdo que hace 9 años ETH hizo un hard fork cuando robaron 50 millones de dólares

  • Según entiendo, la razón por la que esta múltiple firma falló es que, como en la mayoría de los problemas de seguridad, todos simplemente hicieron clic en "sí" y nadie se comunicó, investigó ni hizo preguntas. Eso vuelve inútil el propósito de la múltiple firma

  • De verdad no entiendo por qué no separan esto en varias billeteras distintas