- Los atacantes manipularon la lógica de los contratos inteligentes, drenando fondos a una dirección desconocida; solo se vio comprometida la cartera fría de ETH.
- El CEO Ben Zhou tranquilizó a los usuarios: los monederos calientes, templados y otros monederos fríos siguen siendo seguros; las retiradas no se han visto afectadas.
En un impactante anuncio el viernes 21 de febrero de 2025, Ben Zhou, CEO de Bybit -una de las mayores bolsas de criptomonedas del mundo- reveló a través de su cuenta X una importante brecha de seguridad que comprometió una de las billeteras frías Ethereum (ETH) multifirma de la plataforma, lo que resultó en la pérdida de más de 1.400 millones de dólares.
🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 🚨 401,346 #ETH (1,133,327,423 USD) transferred from #Bybit to unknown wallethttps://t.co/z6xWcFxR4H
— Whale Alert (@whale_alert) February 21, 2025
El tweet, publicado a las 15:44 UTC (10:44 AM CST), encendió la preocupación generalizada y la especulación dentro de la comunidad cripto, confirmando las sospechas iniciales de movimientos masivos de fondos reportados por Arkham horas antes.
Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…
— Ben Zhou (@benbybit) February 21, 2025
Detalles del ataque
Según el post de Zhou, el incidente se produjo aproximadamente una hora antes de su anuncio, cuando el monedero frío ETH multifirma de Bybit inició una transferencia a un monedero caliente. Sin embargo, el ataque implicaba un sofisticado esquema de phishing en el que a los firmantes de la transacción se les mostraba una interfaz de usuario (IU) enmascarada que mostraba direcciones y URL legítimas de @safe, la plataforma Safe (antes Gnosis Safe), famosa por la seguridad de su monedero multifirma.
El fallo crítico residía en que el mensaje firmado no coincidía con la transferencia visible. En su lugar, el código firmado manipulaba la lógica del contrato inteligente vinculado al monedero frío de ETH, lo que otorgaba a los atacantes el control total.
Bybit Hot wallet, Warm wallet and all other cold wallets are fine. The only cold wallet that was hacked was ETH cold wallet. ALL withdraws are NORMAL.
— Ben Zhou (@benbybit) February 21, 2025
Esto permitió a los hackers drenar todos los fondos de ETH de la cartera comprometida a una dirección desconocida. Zhou compartió un enlace (https://t.co/ckwZgma8Lf) con más detalles, aunque la dirección del destinatario o la cantidad exacta robada, más allá de los 1.400 millones de dólares estimados por ETHNews, siguen sin revelarse.
ALERT: $1B+ OUTFLOWS FROM BYBIT
$1.4B in ETH and stETH outflows from Bybit
The funds have begun to move to new addresses where they are being sold. So far $200M stETH has been sold.
Address: 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2 pic.twitter.com/TfGm2UCjM5
— Arkham (@arkham) February 21, 2025
Reacciones sobre X
El tuit de Zhou provocó una avalancha de respuestas en X, con usuarios que expresaban incredulidad, ansiedad y sarcasmo. Cuentas como @ari, @DeFiOssi, @ThePaulOla y @CryptoMasterCom exigieron claridad sobre la seguridad de los fondos restantes, invocando términos como «SAFU» (un término popular en la comunidad criptográfica para «seguro») para cuestionar si los activos de los usuarios estaban protegidos. Otros, como @Stat y @beast_ico, expresaron frustración y pánico, mientras que @SynquoteIntern compartió una imagen humorística de un hombre con las manos en la cabeza, reflejando la consternación colectiva.
En un tweet de seguimiento a las 15:53 UTC, Zhou aclaró que solo la cartera fría de ETH había sido vulnerada, mientras que las carteras calientes de Bybit (conectadas a Internet), las carteras calientes y otras carteras frías seguían siendo seguras. Hizo hincapié en que todos los retiros estaban funcionando normalmente en un esfuerzo por tranquilizar a los usuarios y evitar ventas impulsadas por el pánico.
Bybit detected unauthorized activity involving one of our ETH cold wallets. The incident occurred when our ETH multisig cold wallet executed a transfer to our warm wallet. Unfortunately, this transaction was manipulated through a sophisticated attack that masked the signing…
— Bybit (@Bybit_Official) February 21, 2025
Zhou también pidió ayuda a la comunidad y a los expertos en ciberseguridad para rastrear los fondos robados, mostrando su disposición a colaborar con los analistas de blockchain y las fuerzas de seguridad para recuperar los activos.
Contexto técnico y precedentes
Este incidente pone de manifiesto las vulnerabilidades de los monederos multifirma, incluso en plataformas como Safe, ampliamente consideradas seguras. Los debates en foros como r/ethdev de Reddit señalan paralelismos con el hackeo de carteras multifirma de Parity en 2017, donde un exploit condujo al robo de más de 150.000 ETH (aproximadamente 360 millones de dólares a precios actuales). Esa brecha, causada por un fallo en la lógica de los contratos inteligentes, impulsó importantes actualizaciones del protocolo de seguridad. Sin embargo, el caso de Bybit subraya los riesgos persistentes.
Safe, la solución multifirma utilizada por Bybit, es una plataforma basada en Ethereum que requiere múltiples firmas para autorizar las transacciones, mitigando así los puntos únicos de fallo. Sin embargo, el ataque de phishing se aprovechó de las debilidades de la verificación humana en lugar de los defectos técnicos, engañando a los firmantes a través de una interfaz de usuario fraudulenta.
Bybit lleva mucho tiempo haciendo hincapié en sus compromisos de seguridad. En una entrevista de Cointelegraph de 2020, Zhou detalló la arquitectura de «confianza cero» de la bolsa, los controles de retirada de varios niveles y el almacenamiento en frío 100% offline de los activos de los usuarios. A pesar de estas medidas, el ataque de phishing eludió las defensas, mostrando la sofisticación de los actores maliciosos en el espacio criptográfico.
Implicaciones jurídicas
La pérdida de 1.400 millones de dólares supone un duro golpe financiero y para la reputación de Bybit. Zhou aseguró a los usuarios que las operaciones no se han visto afectadas y que los fondos de otros monederos están seguros. Desde el punto de vista legal, la brecha puede desencadenar litigios, especialmente en Singapur, donde Bybit tiene una presencia significativa, dada la postura favorable a las criptomonedas de sus tribunales.
En 2023, el Tribunal Superior de Singapur dictaminó en el caso *ByBitFintech Ltd v Ho Kai Xin & Ors* que las criptomonedas se consideran propiedad según la ley, lo que podría ayudar en los esfuerzos de recuperación o demandas contra las partes implicadas.
En lo que respecta al mercado, el precio de Ethereum ha sufrido un impacto limitado hasta el momento, aunque los inversores están atentos a una posible presión de venta adicional si los piratas informáticos liquidan los fondos robados. La comunidad de criptomonedas también está pendiente de la respuesta de Bybit y de las posibles consecuencias regulatorias.
Bybit se enfrenta ahora al reto de restablecer la confianza de los usuarios y rastrear los activos robados. Zhou se mostró dispuesto a colaborar con equipos externos para identificar a los autores y recuperar los fondos, mientras que la bolsa podría aplicar auditorías más estrictas del sistema multifirma y formación contra la suplantación de identidad.
Nota: Este artículo se basa en la información disponible a las 11:04 AM CST del 21 de febrero de 2025. Los acontecimientos pueden evolucionar. Se recomienda a los inversores y usuarios que consulten las actualizaciones oficiales de Bybit y fuentes de confianza antes de tomar decisiones financieras.
