Incidente de seguridad de Bybit: Cronología de los eventos y preguntas frecuentes

Introducción

Bybit sufrió un importante incidente de piratería el 21 de febrero de 2025, que afectó a una de las carteras frías Ethereum de Bybit y provocó pérdidas de casi 1500 millones de USD. La explotación está vinculada al Grupo Lazarus de Corea del Norte, respaldado por el estado.

Cronología de los eventos

21 de febrero de 2025, 13:30 UTC: Bybit realizó una transferencia rutinaria de una de nuestras carteras de frío multisig de Ethereum a una cartera cálida, transfiriendo primero una cantidad de 30 000 ETH.

21 de febrero de 2025, 14:13 UTC — Los hackers explotaron la interfaz de usuario de la cartera fría multisig Safe a través de un sofisticado ataque de phishing, realizando la transacción específica que dio lugar al cambio en la lógica de contrato inteligente de la cartera fría ETH.

Esto permitió a los hackers transferir los fondos de la cartera fría comprometida, dividiéndolo en 39 direcciones.

¿Cuánto se perdió en el hackeo?

Solo se comprometió una sola cartera fría Bybit, lo que provocó una pérdida de 1460 millones de USD:

• 401.347 ETH (1.120 millones de dólares)

• 90.375 stETH (253,16 millones de dólares)

• 15.000 cmETH (44,13 millones de dólares)

• 8000 mETH (23 millones de USD)

21 de febrero de 2025, 15:44 UTC — Ben Zhou, cofundador y director ejecutivo de Bybit, tuiteó sobre la situación en evolución, informando a la comunidad desde el principio de que los hackers “tomaron el control de la cartera fría de ETH específica” y aseguraron a los usuarios que Bybit es solvente y puede cubrir la pérdida, garantizando que los activos del cliente estén respaldados 1:1.

21 de febrero de 2015, 16:07 UTC — Ben reiteró en su publicación X que "Bybit es solvente incluso si no se recupera esta pérdida de piratería informática, todos los activos de los clientes están respaldados 1 a 1, podemos cubrir la pérdida".

21 de febrero de 2025, 17:15 UTC — Ben Zhou, director ejecutivo de Bybit, inició una transmisión en directo para explicar la situación de forma transparente a los usuarios afectados.

¿Cómo ocurrió el hackeo?

A través de un ataque de phishing a los firmantes de la cartera de Ethereum en frío multisig, la transacción y la interfaz de usuario segura se falsificaron, lo que permitió al hacker cambiar la lógica de contrato inteligente de la cartera multisig. Esto permitió al hacker obtener el control de la cartera fría Bybit y transferir los fondos. Nuestro equipo aún está investigando cómo el hacker pudo falsificar la cartera fría y publicará un informe completo post mortem en breve.

No hay planes para comprar ETH

Ben Zhou, cofundador y CEO de Bybit, declaró durante una transmisión en directo que actualmente no hay planes para comprar ETH. Sin embargo, subrayó que la empresa está buscando activamente ayuda y aprovechando los préstamos puente de los socios para sortear las restricciones de liquidez durante este periodo crítico.

Otras carteras frías son seguras

Ben aclaró que Bitcoin sigue siendo el activo de reserva principal y que otras carteras frías no se ven afectadas.

Retiradas como de costumbre

Ben aseguró a los usuarios que todos los productos y servicios funcionan como de costumbre. Los retiros no se han detenido y siguen procesándose como de costumbre.

Servicios P2P normales

Shunyet Jan, Director de Derivados e Institucional de Bybit, confirmó durante la transmisión en directo que los servicios P2P de la plataforma funcionan con normalidad.

21 de febrero de 2025, 19:09 UTC — ZachXBT presentó una prueba definitiva que vinculaba el ataque al Grupo Lazarus, una organización cibercriminal de Corea del Norte, reclamando la recompensa de Arkham Intelligence. Su análisis incluye transacciones de prueba, carteras conectadas, gráficos forenses y detalles de tiempo. Según ZachXBT, el clúster de direcciones también está vinculado al pirateo de Phemex y BingX.

21 de febrero de 2025, 20:09 UTC — Bitget depositó 40 000 ETH, mostrando el sólido apoyo mostrado por socios del sector y compañeros.

21 de febrero de 2025, 21:07 UTC: Bybit informó del caso a las autoridades correspondientes y proporcionará actualizaciones tan pronto como se disponga de más información. Colaboró activamente con proveedores de análisis en cadena para identificar y desmezclar las direcciones implicadas.

22 de febrero de 2025, 00:54 UTC — Ben anunció que el 99,994 % de las más de 350 000 solicitudes de retirada se han procesado 10 horas después del ataque, con el equipo de Bybit trabajando las 24 horas para garantizar operaciones sin problemas y garantizar las preocupaciones del cliente.

22 de febrero de 2025, 01:08 UTC — Safe confirmó que no había compromiso de su base de código o dependencias maliciosas, y que no se vieron afectadas otras direcciones seguras. Después del incidente, Safe ha pausado temporalmente su funcionalidad de Wallet para realizar una revisión exhaustiva del servicio.

22 de febrero de 2025, 01:21 UTC — Hacken declaró que el hackeo de Bybit era significativo y provocó un fuerte golpe al sector. Sin embargo, las reservas de Bybit siguen superando sus pasivos y sus fondos de usuario siguen estando totalmente respaldados.

22 de febrero de 2025, 02:51 UTC — Ben tuiteó que todos los retiros se han procesado y ha reanudado las operaciones normales, menos de 12 horas después del incidente de piratería informática de 1400 millones de USD, el mayor del sector.

22 de febrero de 2025, 07:29 UTC — Según los últimos datos de monitorización de SoSoValue y del equipo de seguridad en cadena TenArmor, en las últimas 12 horas se han transferido más de 4000 millones de dólares en fondos a la plataforma de operaciones Bybit. El análisis comparativo del flujo de entrada de fondos indica que este flujo de entrada de capital ha cubierto completamente el déficit causado por el hackeo de ayer.

22 de febrero de 2025, 08:52 UTC — Chainflip respondió el X, afirmando que, aunque han hecho todo lo posible por ayudar, como protocolo descentralizado, no pueden bloquear, congelar o redirigir por completo ningún fondo.

22 de febrero de 20225, 11:00 UTC — Ben y Shunyet celebraron una AMA en chino con ETHPanda, Wu Blockchain, Gracy Chen y otros participantes, para debatir el incidente de piratería y compartir sus conocimientos sobre cómo gestionarlo.

22 de febrero de 2025, 13:15 UTC — El director ejecutivo de Tether, Paolo Ardoino, anunció que Tether congeló 181 000 USDT vinculados al ataque.

22 de febrero de 2025, 13:45 UTC — Bybit procesó aproximadamente 4000 millones de USD en retiradas tras el aumento posterior a la explotación. Hacken confirmó que los fondos de usuario de Bybit siguen estando totalmente respaldados, con reservas que siguen superando los pasivos.

22 de febrero de 2025, 15:32 UTC — Bybit lanza el programa Recovery Bounty con una recompensa del 10 % de los fondos robados. Para participar, póngase en contacto con Bybit en bounty_program@bybit.com

22 de febrero de 2025, 16:01 UTC: Ben participó en una AMA en vivo con Crypto Town Hall, hablando sobre cómo manejó la situación después de la piratería, el apoyo de la industria que Bybit recibió de compañeros como Bitget, Binance y cómo el equipo de Bybit trabajó incansablemente para manejar la crisis. Ben también afirmó que revertir Ethereum debería ser una decisión de la comunidad, posiblemente a través de un voto, en lugar de una elección individual.

23 de febrero de 2025, 04:32 UTC — Ben destacó que el problema va más allá de Bybit o cualquier entidad individual,

afirma: "Se trata del enfoque de nuestro sector hacia los hackers". Instó a @eXch a reconsiderar y ayudar a bloquear la salida de fondos.

23 de febrero de 2025, 08:55 UTC — Bybit anunció que todos los depósitos y retiros han vuelto a los niveles normales.

23 de febrero de 2025, 15:41 UTC: 42,89 millones de USD de fondos explotados se congelaron gracias al esfuerzo coordinado de socios del sector, incluidos Tether, Thorchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget y Circle. Además, el protocolo mETH recuperó 15 000 tokens de cmETH, valorados en casi 43 millones de dólares.

24 de febrero de 2025, 02:35 UTC — 2 días después del ataque, Bybit ha recibido 1230 millones de dólares en ETH

a través de préstamos puente, depósitos de ballenas y compras OTC, cubriendo eficazmente el déficit de ETH de la explotación.

24 de febrero de 2025, 09:12 UTC — Hacken, una empresa independiente de seguridad de cadena de bloques, publicó un informe actualizado de prueba de reservas (PoR). Bybit ha cerrado completamente la brecha de ETH de los activos de los clientes en un plazo de 72 horas, a través de asociaciones estratégicas con Galaxy Digital, FalconX, Wintermute y más, junto con la asistencia de Bitget, MEXC y DWF Labs. Los activos clave como BTC, ETH, SOL, USDT y USDC superan los ratios de garantía del 100 %. Los usuarios pueden leer el informe completo aquí: https://www.bybit.com/app/user/audit-report

25 de febrero de 2025, 14:40 UTC — Ben Zhou, CEO de Bybit, anunció el lanzamiento del programa LazarusBounty, la primera plataforma de recompensas del sector que tiene como objetivo específicamente recuperar fondos supuestamente robados por el Grupo Lazarus, respaldado por el estado de Corea del Norte, en la explotación de Bybit.

26 de febrero de 2025, 15:17 UTC — Ben Zhou, director ejecutivo de Bybit, compartió los informes preliminares del ataque realizado por Sygnia Labs y Verichains. Ambos informes sugirieron que la causa raíz del hackeo se debió al código JavaScript malicioso en la plataforma Safe{Wallet} y no se detectó vulnerabilidad en la infraestructura de Bybit. Para obtener más información, descargue los informes aquí.

28 de febrero de 2025, 13:25 UTC — Ben anunció la actualización de V1.1 de la plataforma LazarusBounty, que añadió un análisis de dirección de hacker entre cadenas, canal Discord, saldo de cartera de dirección de hacker y clasificación verificada de cazadores de recompensas.

#LearnWithBybit