Hackers norcoreanos del grupo Lazarus serían los responsables del robo más grande de la historia de criptomonedas
Este incidente ha sido catalogado como el más devastador en la historia de las criptomonedas, según informes de varias empresas de seguridad cibernética, como Elliptic, Arkham Intelligence y Chainalysis, que han analizado el caso en detalle. Lazarus es un grupo de cibercrimen apoyado por el régmen de Kim Jong-un
El pasado 21 de febrero, la plataforma de intercambio de criptomonedas Bybit, con sede en Dubái y más de 60 millones de usuarios según la información más reciente, fue víctima de un ciberataque que resultó en el robo de 1,500 millones de dólares en activos, principalmente en ethereum (ETH).
Este incidente ha sido catalogado como el más devastador en la historia de las criptomonedas, según informes de varias empresas de seguridad cibernética, como Elliptic, Arkham Intelligence y Chainalysis, que han analizado el caso en detalle.
El análisis realizado por Chainalysis reveló que esta cifra supera notablemente los 1,340 millones de dólares que el régimen norcoreano había sustraído en 47 ataques durante todo el 2024, según un informe de la misma firma, que documenta cómo los grupos respaldados por Corea del Norte representan el 61% de los robos de criptomonedas ese año. La investigación apunta a que el ataque a Bybit fue llevado a cabo por hackers norcoreanos, quienes, hasta la fecha, han estado involucrados en múltiples robos similares, como el hackeo de 620 millones de dólares al Ronin Network en 2022, también atribuido al grupo Lazarus.
“Los atacantes comprometieron una de las billeteras frías (cold wallet) fuera de línea de Bybit. Esto sugiere un posible ataque a la cadena de suministro o una sofisticada estrategia de compromiso”, indicó la plataforma TRM Labs, especializada en detección de delitos vinculados a criptomonedas, en un comunicado sobre el incidente. Estas billeteras frías, diseñadas para almacenar activos digitales de manera segura sin conexión a internet, fueron manipuladas mediante un ataque sofisticado que alteró la lógica de los contratos inteligentes y enmascaró la interfaz de firma, engañando a los autorizadores de la transferencia.
Además, Chainalysis destacó que este ataque pone de manifiesto la estrategia habitual del régimen de Corea del Norte, que incluye la ingeniería social y métodos complejos de lavado de dinero para dispersar fondos robados sin ser detectados. Se constató que los fondos robados de Bybit se consolidaron en direcciones que ya contenían activos de otros ataques previos atribuidos al Estado-nación, como los hackeos a Phemex, BingX y Poloniex, según análisis de blockchain realizados por firmas como Elliptic y publicaciones en X de investigadores como ZachXBT.
El fundador de Bybit, Ben Zhou, envió un mensaje tranquilizador a los usuarios luego del ciberataque, afirmando que únicamente se vio comprometida la billetera fría de ethereum, mientras que el resto de las operaciones continuaban con normalidad. Zhou aseguró que la empresa era financieramente sólida y capaz de cubrir las pérdidas, señalando que tres días después del ataque, la brecha de ETH ya había sido cerrada. Además, anunció que lanzarán nuevas iniciativas para ayudar a proteger a la industria contra futuros ataques, incluyendo colaboración con firmas de ciberseguridad y un fondo de recompensas de hasta 140 millones de dólares para rastrear los fondos robados, según un post en X y declaraciones recogidas por medios como Reuters y Bloomberg.
Investigaciones recientes realizadas por Arkham Intelligence han vinculado explícitamente el ataque al temido grupo de hackers Lazarus, respaldado por el gobierno norcoreano. El investigador ZachXBT llevó a cabo un análisis exhaustivo de las transacciones, encontrando conexiones entre las billeteras utilizadas en el hackeo de Bybit y un ataque previo de Lazarus contra la plataforma Phemex, según confirmaciones de firmas como TRM Labs y Elliptic.
Lazarus se ha destacado por ser el grupo de ciberdelincuentes más relevante para el régimen de Corea del Norte, enfrentándose a sanciones internacionales por sus actividades delictivas y su papel en la obtención de ingresos para el país, en medio de severas restricciones económicas, según informes del gobierno de EE. UU. y la ONU. Este grupo ganó notoriedad en 2014 al infiltrarse en el sistema de Sony Pictures, lo que resultó en pérdidas significativas y filtraciones de información sensible, según reportes de Kaspersky Lab y CNN. Los ataques cibernéticos de Lazarus también han afectado a múltiples plataformas de criptomonedas en todo el mundo, solidificando su reputación como una de las amenazas más serias en el ámbito de la seguridad cibernética, con un total de más de 6,000 millones de dólares robados desde 2017, según Elliptic.