Bybit sufre pérdidas de $1.5B (2.1 billones de wones) por hackeo. CEO: "Podemos cubrir la pérdida"

 (tradingview.com)
1 puntos por GN⁺ 2025-02-23 | 2 comentarios | Compartir por WhatsApp
  • El exchange de criptomonedas Bybit sufrió "retiros sospechosos" por un monto aproximado de 1,460 millones de dólares
  • La billetera afectada transfirió 401,346 ETH (aprox. 1,100 millones de dólares), además de stETH (staked ETH), a una nueva billetera
  • La nueva billetera actualmente está liquidando mETH y stETH en exchanges descentralizados, y se ha confirmado que hasta ahora ha vendido stETH por un valor aproximado de 200 millones de dólares
  • El CEO de Bybit, Ben Zhou, declaró en X que "una billetera fría específica de ETH fue comprometida por un hacker y todo el ETH fue transferido"
    • Sin embargo, añadió que "las otras billeteras frías están seguras y todos los retiros se están procesando con normalidad"
  • La pérdida de 1,460 millones de dólares podría quedar registrada como el mayor hackeo de criptomonedas de la historia
    • Comparación con casos importantes de hackeo del pasado:
      • Hackeo de Mt. Gox (2014): pérdida de 470 millones de dólares
      • Hackeo de CoinCheck (2018): pérdida de 530 millones de dólares
      • Hackeo de Ronin Bridge (2022): pérdida de 650 millones de dólares
    • Tras conocerse la noticia del hackeo, Bitcoin (BTC) cayó 1.5% y Ethereum (ETH) más de 2%

Contenido del anuncio oficial del CEO de Bybit e incluye la explicación de los comentarios

  • El CEO de Bybit anunció en X que la billetera fría multisig de ETH realizó una transferencia a una billetera caliente
    • Sin embargo, esa transacción específica estaba "enmascarada", por lo que en la UI que vieron los firmantes aparecía la dirección correcta
    • La URL también aparecía como el servicio de firma seguro @safe (https://safe.global/wallet)
    • Pero el mensaje real que se firmó modificaba la lógica del smart contract de la billetera fría de ETH, y como resultado el hacker tomó control de la billetera fría y transfirió todo el ETH
  • La mayoría de las hardware wallets no pueden interpretar transacciones de smart contracts EVM
    • Las hardware wallets usan "firma ciega" (blind signing), y asumen que la pantalla que ve el firmante coincide con los datos binarios reales que está firmando
    • Según el CEO, se verificó la URL correcta y varios firmantes firmaron desde distintas ubicaciones usando diferentes dispositivos
    • Sin embargo, la UI de todos los firmantes fue manipulada, lo que sugiere un ataque sofisticado
  • Posibles hipótesis sobre el método de ataque
    • Manipulación del enlace de firma
      • Es posible que el enlace de firma haya sido alterado durante la transmisión y llevara a una página de phishing con un dominio homógrafo IDN
      • O que el sitio real safe.global fuera vulnerable a un ataque de inyección de scripts y mostrara una UI manipulada
    • Ataque del lado del servidor
      • Es posible que los servidores de Bybit hayan sido comprometidos y entregaran páginas manipuladas a los firmantes
    • Ataque del lado del cliente
      • Es posible que se haya instalado malware en los navegadores de los firmantes para manipular la UI
    • Ataque de red/DNS
      • Es posible que se usara secuestro de DNS o certificados TLS emitidos incorrectamente para dirigir a los usuarios a un sitio falso
  • Conclusión: posible ataque sofisticado y de largo plazo
    • Este hackeo parece haberse ejecutado tras monitorear durante mucho tiempo los sistemas internos de Bybit y analizar sus procesos
    • No se trataría de un simple ataque de phishing, sino de un ataque a medida llevado a cabo tras entender con precisión el proceso interno de firma de la empresa
    • Si más adelante se publica un informe oficial de análisis del hackeo, se espera que se revele con mayor detalle el método de ataque

Lecturas relacionadas

2 comentarios

 
GN⁺ 2025-02-23
Opiniones de Hacker News
  • Hay información relacionada sobre las fallas de seguridad de este incidente en el blog de Trail of Bits
  • Hay información y especulación en dos artículos, pero quisiera conocer los detalles técnicos
    • Por ejemplo, me pregunto si el software del cliente fue comprometido, si los poseedores de claves multifirma cedieron ante ingeniería social, y si los firmantes usaban máquinas con air gap o dispositivos de hardware
  • Me pregunto cómo Bybit puede cubrir una pérdida de 1.5 mil millones de dólares
    • Quisiera saber si realmente tienen tantas ganancias, o si están intentando resolverlo al estilo MtGox
  • No sé cómo funcionan los exchanges de criptomonedas
    • Me pregunto si alguien puede explicarlo de forma sencilla
    • Me pregunto si el ETH de los usuarios estaba en la wallet de almacenamiento en frío
    • Si es así, me pregunto por qué un exchange de criptomonedas guarda el ETH de los usuarios en una wallet que puede ejecutar transacciones sin aprobación del usuario
    • En general, me pregunto por qué se necesita una wallet de almacenamiento en frío tan grande para operar un exchange
    • Me pregunto cómo tienen activos con los que puedan cubrir esta pérdida
  • Hay otra información sobre Bybit
    • Bybit no es legal en Canadá
    • Bybit comenzó en Singapur, y Singapur es un centro global de criptomonedas y tecnología blockchain
    • Hay información mezclada que dice que Bybit es seguro y otra que dice que no lo es
  • Si está conectada a un exchange, no es una cold wallet
  • Debería existir algo como una "transacción final", donde tanto el remitente como el receptor deban firmar después de que la primera transacción sea minada
    • Si no se firma, los fondos se devuelven
    • No evita la filtración de claves, pero sí puede evitar enviar a una dirección equivocada
  • Creo en las criptomonedas, pero un sistema que puede mover 1.5 mil millones de dólares a otra cuenta sin ninguna advertencia no es serio
  • Me pregunto si alguien puede explicar qué es realmente Bybit
    • Busqué cuando se anunció el hackeo, pero fue confuso
    • La mayor parte de la información dice que es una "estafa"
  • Hay quienes dicen "todas las demás cold wallets están seguras, así que tranquilos"
    • Es difícil de creer
  • El exchange de criptomonedas WazirX sufrió un hackeo de alrededor de 300 millones de dólares
    • No ha habido acciones contra el CEO desde el hackeo de julio de 2024
    • Está en Dubái, y obtuvo aprobación de la Corte Suprema de Singapur para prorratear los fondos y distribuirlos a los usuarios
    • No ha habido acciones contra la empresa/el CEO, y se está preparando para iniciar otra empresa/u otro exchange