Cómo se produjo el mayor robo de criptomonedas de la historia

Cotizaciones de la criptomoneda Ethereum en la página web de Bybit vistas en una computadora en Nueva York. (AP Foto/Patrick Sison)

La noche del 21 de febrero, Ben Zhou, el director ejecutivo de la plataforma de intercambio de criptomonedas Bybit, se conectó a su computadora para aprobar lo que parecía ser una transacción de rutina. Su compañía estaba moviendo una gran cantidad de Ether, una moneda digital popular, de una cuenta a otra.

Treinta minutos después, Zhou recibió una llamada del director financiero de Bybit. Con voz temblorosa, el ejecutivo le dijo a Zhou que su sistema había sido hackeado.

“Todo el Ethereum se ha ido”, dijo.

Cuando Zhou aprobó la transacción, había entregado inadvertidamente el control de una cuenta a piratas informáticos respaldados por el régimen de Corea del Norte, según el FBI. Robaron 1.500 millones de dólares en criptomonedas, el robo más grande en la historia de la industria.

Para llevar a cabo la sorprendente violación, los piratas informáticos explotaron una falla simple en la seguridad de Bybit: su dependencia de un producto de software libre. Los hackers se infiltraron en Bybit manipulando un sistema de acceso público que la empresa utilizaba para proteger cientos de millones de dólares en depósitos de clientes. Durante años, Bybit había dependido del software de almacenamiento, desarrollado por un proveedor de tecnología llamado Safe, mientras que otras empresas de seguridad vendían herramientas más especializadas para empresas.

El ataque provocó una caída libre en los mercados de criptomonedas y socavó la confianza en la industria en un momento crucial. Bajo la administración de Trump, favorable a las criptomonedas, los ejecutivos de la industria están presionando para que se aprueben nuevas leyes y regulaciones en Estados Unidos que faciliten a las personas invertir sus ahorros en monedas digitales. El viernes, la Casa Blanca tiene previsto celebrar una “cumbre de criptomonedas” con el presidente Trump y los principales funcionarios de la industria.

Los expertos en seguridad de criptomonedas dijeron que estaban preocupados por lo que el robo reveló sobre los protocolos de seguridad de Bybit. Las pérdidas fueron “completamente evitables”, escribió una empresa de seguridad en un análisis de la violación, argumentando que “no debería haber sucedido”.

Ben Zhou, CEO de Bybit (Tamir Kalifa/The New York Times)

La herramienta de almacenamiento de Safe se usa ampliamente en la industria de las criptomonedas. Pero es más adecuada para los aficionados a las criptomonedas que para los intercambios que manejan miles de millones de dólares en depósitos de clientes, dijo Charles Guillemet, un ejecutivo de Ledger, una empresa francesa de seguridad de criptomonedas que ofrece un sistema de almacenamiento diseñado para empresas.

“Esto realmente necesita cambiar”, dijo. “No es una situación aceptable en 2025″.

En Bybit, el hackeo desencadenó 48 horas frenéticas. La empresa supervisa hasta 20.000 millones de dólares en depósitos de clientes, pero no tenía suficiente Ether a mano para cubrir las pérdidas del robo de 1.500 millones de dólares. Zhou, de 38 años, se apresuró a mantener el negocio a flote pidiendo préstamos a otras empresas y recurriendo a las reservas corporativas para hacer frente a una oleada de solicitudes de retirada. En las redes sociales, parecía sorprendentemente relajado, y unas horas después del robo anunció que sus niveles de estrés “no eran tan malos”.

A medida que se desarrollaba la crisis, el precio de Bitcoin, un referente para la industria, se desplomó un 20 por ciento. Fue la caída más pronunciada desde el fracaso en 2022 de FTX, la plataforma de intercambio dirigida por el magnate caído en desgracia Sam Bankman-Fried.

En una entrevista esta semana, Zhou reconoció que Bybit había recibido una advertencia previa sobre posibles problemas con Safe. Tres o cuatro meses antes del ataque, dijo, la compañía notó que el software no era totalmente compatible con uno de sus otros servicios de seguridad.

“Deberíamos haber actualizado y habernos alejado de Safe”, dijo Zhou. “Definitivamente estamos buscando hacer eso ahora”.

Rahul Rumalla, director de productos de Safe, dijo en una declaración que su equipo había creado nuevas funciones de seguridad para proteger a los usuarios y que los productos de Safe eran “la columna vertebral de la tesorería de algunas de las organizaciones más grandes del sector”.

“Nuestro trabajo no es solo arreglar lo que sucedió”, dijo Rumalla, “sino asegurarnos de que todo el sector aprenda de ello, para que esto no vuelva a suceder”.

Fundada en 2018, Bybit opera como un mercado de criptomonedas, donde los comerciantes diarios y los inversores profesionales pueden convertir sus dólares o euros en Bitcoin y Ether. Muchos inversores tratan a los intercambios como Bybit como bancos informales, donde depositan sus tenencias de criptomonedas para su custodia.

Según algunas estimaciones, Bybit es la segunda plataforma de intercambio de criptomonedas más grande del mundo y procesa decenas de miles de millones de dólares por día. Tiene su sede en Dubái y no ofrece servicios a clientes de Estados Unidos.

El 21 de febrero, Zhou estaba en su casa de Singapur, terminando un trabajo, dijo en la entrevista.

Pero primero, él y otros dos ejecutivos necesitaban aprobar una transferencia de criptomonedas de una cuenta a otra. Se supone que estas transferencias rutinarias son seguras: ninguna persona en Bybit puede ejecutarlas, lo que crea múltiples capas de protección contra los ladrones.

Sin embargo, tras bastidores, un grupo de piratas informáticos ya había entrado en el sistema de Safe, según la auditoría de Bybit sobre el ataque. Habían comprometido una computadora que pertenecía a un desarrollador de Safe, dijo una persona con conocimiento del asunto, lo que les permitió plantar código malicioso para manipular las transacciones.

Un enlace enviado a través de Safe invitó a Zhou a aprobar la transferencia. Era una artimaña. Cuando firmó, los piratas informáticos tomaron el control de la cuenta y robaron $ 1.5 mil millones en criptomonedas.

Las repentinas salidas de capital aparecieron en la cadena de bloques, un registro público de transacciones de criptomonedas. Los analistas de criptomonedas identificaron rápidamente al culpable como el Grupo Lazarus, un sindicato de piratas informáticos respaldado por el gobierno de Corea del Norte.

Esa noche, Zhou fue a la oficina de Bybit en Singapur para gestionar la crisis. Anunció el ataque en las redes sociales e inició un protocolo de crisis conocido en la empresa como P-1, presionando un botón para despertar a todos los miembros del equipo de liderazgo.

Alrededor de la 1 a.m., Zhou apareció en una transmisión en vivo en X, bebiendo un Red Bull. Prometió a los clientes que Bybit seguía siendo solvente.

“Incluso si esta pérdida por el ataque no se recupera, todos los activos de los clientes están respaldados 1 a 1″, dijo en una publicación. “Podemos cubrir la pérdida”.

Esas garantías no fueron suficientes. En cuestión de horas, dijo Zhou, aproximadamente la mitad de las monedas digitales depositadas en la plataforma, o cerca de $ 10 mil millones, habían sido retiradas. El mercado de criptomonedas se desplomó.

Para limitar el daño, otras empresas de criptomonedas se ofrecieron a ayudar. Gracy Chen, directora ejecutiva de una plataforma de intercambio rival, Bitget, prestó a Bybit 40.000 en Ether, o aproximadamente 100 millones de dólares, sin solicitar ningún interés o incluso garantía.

“Nunca cuestionamos su capacidad para devolvernos el dinero”, dijo Chen.

Entre las reuniones de crisis, Zhou proporcionó un comentario continuo en X. Compartió capturas de pantalla de una aplicación de salud, mostrando que sus niveles de estrés eran sorprendentemente normales.

“Demasiado concentrado al mando de todas las reuniones. Olvidé estresarme”, escribió. “Creo que pronto empezaré a comprender realmente el concepto de perder 1.500 millones de dólares”.

Después de saquear Bybit, los piratas informáticos norcoreanos distribuyeron los fondos robados en una vasta red de billeteras de criptomonedas en línea, una estrategia de lavado de dinero que también habían empleado después de otros atracos.

“Lazarus Group está en otro nivel”, escribió Haseeb Qureshi, un inversor de riesgo, en X después del robo.

Los expertos en seguridad culparon a Bybit de ponerse en riesgo. Para autorizar la transferencia rutinaria que llevó al ataque, dijo Zhou, utilizó una herramienta de hardware diseñada por Ledger, la empresa de seguridad de criptomonedas. El dispositivo no estaba sincronizado con Safe, dijo. Por lo tanto, no pudo usar la herramienta para verificar los detalles completos de la transacción que estaba aprobando, una práctica siempre riesgosa en el mundo de las criptomonedas.

“Safe simplemente no te da el tipo de controles que desearías si vas a hacer transferencias operativas con frecuencia”, dijo Riad Wahby, profesor de ingeniería informática en la Universidad Carnegie Mellon y cofundador de la firma de seguridad digital Cubist.

Zhou dijo que deseaba haber tomado medidas antes para reforzar las defensas de Bybit. “Hay muchos arrepentimientos ahora”, dijo. “Debería haber prestado más atención a esta área”.

Aún así, Bybit continuó operando después del hackeo, procesando todos los retiros en 12 horas, dijo Zhou. Poco después de la violación, anunció en X que la compañía estaba moviendo otros $ 3 mil millones en criptomonedas.

“Esta es una maniobra planificada, para su información”, escribió. “Esta vez no nos han hackeado”.

© The New York Times 2025.