El mayor robo de criptomonedas de la historia
El 21 de febrero de 2025 se produjo el ataque más grave en la historia de las criptomonedas. El exchange Bybit, el segundo más grande del mundo por volumen después de Binance y con sede en Dubái, sufrió un robo de aproximadamente 1.500 millones de dólares en activos digitales custodiados en una billetera fría (cold wallet) de Ethereum. Ninguna cadena de bloques fue vulnerada. No se explotó ningún error criptográfico. El punto débil fue humano, infraestructural y sistémico. El ataque reveló la insuficiencia de la actual arquitectura híbrida de la Web3, basada en una paradoja: herramientas descentralizadas construidas sobre infraestructuras centralizadas.
21 de febrero de 2025
A las 13:30 UTC del 21 de febrero, Bybit ejecutó una operación de rutina: la transferencia de 30.000 ETH desde una de sus billeteras frías multifirma hacia una billetera más accesible, una denominada “billetera caliente” (warm wallet). El movimiento, aparentemente inofensivo, se transformó en un punto de ruptura histórico: 401.347 ETH, 90.375 stETH, 15.000 cmETH y 8.000 mETH fueron sustraídos en cuestión de minutos.
Total estimado del daño:
- 401.347 ETH ≈ 1.120 millones de dólares
- 90.375 stETH ≈ 253 millones
- 15.000 cmETH ≈ 44 millones
- 8.000 mETH ≈ 23 millones
Total: ≈ 1.500 millones de dólares
Comparativa con hackeos anteriores
| Hackeo | Fecha | Valor sustraído |
|---|---|---|
| Bybit | Feb 2025 | 1.500 millones USD |
| Ronin (Axie Infinity) | Mar 2022 | 620 millones USD |
| Poly Network | Ago 2021 | 610 millones USD |
| Mt.Gox (Tokio) | 2014 | 850.000 BTC (~450M) |
| KuCoin | Sep 2020 | 275 millones USD |
El ataque a Bybit no solo supera en magnitud a todos los anteriores, sino que desplaza el campo de batalla desde las vulnerabilidades internas de la blockchain a un nuevo nivel: la cadena de suministro de la infraestructura Web3.
Por qué este ataque es de “nivel sistémico”
El exploit no afectó a contratos inteligentes vulnerables. Afectó a la infraestructura de firma que conectaba a seres humanos, billeteras de software y entornos en la nube. Es una prueba de estrés fallida para todo el ecosistema cripto, y en particular para la supuesta invulnerabilidad de las billeteras frías multifirma, consideradas siempre el estándar de oro de la custodia digital.
La dinámica del ataque: la transferencia “de rutina” que no lo era
La transacción fraudulenta se camufló en una rutina. Los firmantes vieron —en la interfaz gráfica (GUI) de Safe{Wallet}— una transferencia legítima. Sin embargo, en la cadena (on-chain), los fondos eran dirigidos hacia contratos controlados por los atacantes. La interfaz mostraba una dirección correcta, pero el código JavaScript ejecutado en el navegador había modificado la lógica subyacente del paquete de firma, alterando los parámetros to, operation y data.
El papel de Safe{Wallet} y la cadena de suministro Web2
Safe (anteriormente Gnosis Safe) es el multisig más utilizado en el sector. Bybit lo usaba para gestionar la firma de 3 niveles de sus billeteras frías. El punto de entrada del ataque fue la compromisión de la máquina de un desarrollador de Safe, desde la cual los atacantes obtuvieron acceso al bucket de AWS S3 que albergaba el frontend público de Safe.
Al modificar el archivo safe-transaction.js, los agresores inyectaron una carga útil (payload) de JavaScript capaz de reconocer cuándo un firmante de Bybit estaba aprobando una transacción y modificar su contenido al vuelo. El código modificado fue luego servido como si fuera legítimo a través de AWS CloudFront.
Esta es la paradoja: una solución pensada para ser descentralizada y sin confianza (trustless) que dependía de una CDN centralizada y de un almacenamiento en la nube no blindado.
Lazarus Group: el “brazo cibernético” de Corea del Norte
La atribución fue confirmada por el FBI y por empresas de análisis de blockchain como Chainalysis y Elliptic. El grupo responsable es Lazarus, una unidad de élite de Corea del Norte vinculada a la Oficina General de Reconocimiento (RGB), órgano de inteligencia militar.
Ataques anteriores: la trayectoria de Lazarus, del espionaje a los robos cripto
El grupo Lazarus, identificado como unidad operativa bajo la Oficina General de Reconocimiento (RGB), ha pasado en poco más de una década de operaciones de sabotaje informativo a sofisticadas campañas de ciberdelincuencia financiera. La progresión muestra una evolución clara: desde atacar entidades estadounidenses con fines geopolíticos hasta la construcción de una infraestructura industrial para el robo de criptomonedas.
Sony Pictures (2014): el sabotaje como arma diplomática
El ataque de 2014 contra Sony Pictures Entertainment marcó la entrada de Lazarus en el panorama cibernético global. El motivo fue político: la distribución de la película The Interview, una sátira sobre el régimen de Kim Jong-un. Lazarus penetró en la red interna de la compañía, destruyó el 70% de los servidores y dispositivos internos, y exfiltró terabytes de datos confidenciales, incluyendo correos electrónicos privados, salarios, contenidos inéditos e información personal de los empleados. El ataque le costó a Sony decenas de millones de dólares. Fue la demostración de que Lazarus operaba no como un grupo de activistas, sino como un instrumento estratégico estatal.
Banco Central de Bangladesh (2016): el paso al robo financiero
En febrero de 2016, Lazarus aprovechó las credenciales SWIFT comprometidas del Banco de Bangladesh para intentar un robo de 951 millones de dólares de la Reserva Federal de Nueva York. Solo un error tipográfico en el nombre del beneficiario (“Fundation” en lugar de “Foundation”) impidió el éxito total. Sin embargo, 81 millones USD fueron transferidos con éxito, en gran parte lavados a través de casinos filipinos. Es el primer caso documentado de ataque directo a un sistema bancario internacional con objetivo financiero puro, marcando el paso del sabotaje a la explotación económica a escala global.
Upbit (2019): Lazarus entra en el mundo cripto
En noviembre de 2019, Lazarus violó el exchange surcoreano Upbit, sustrayendo 342.000 ETH (≈ 41 millones USD en aquel momento). El robo ocurrió desde una billetera caliente, comprometida con un ataque dirigido. A diferencia del caso de Bangladesh, la naturaleza sin permisos (permissionless) de las blockchains permitió una ejecución más rápida y una dispersión casi instantánea de los fondos. El ataque marca la entrada oficial del grupo en la criminalidad cripto-nativa: bajo riesgo, alta velocidad, máxima liquidez.
KuCoin (2020): robo descentralizado, pero fondos parcialmente recuperados
En septiembre de 2020, Lazarus atacó el exchange KuCoin, con sede en las Seychelles pero operativo sobre todo en el mercado asiático. Se sustrajeron cerca de 275 millones de dólares en una multitud de tokens ERC-20 y otros activos en blockchains compatibles. La diferencia respecto a los ataques anteriores fue la recuperación parcial: más del 80% de los fondos fueron devueltos gracias a la colaboración entre los desarrolladores de los tokens, quienes congelaron contratos o redeployaron activos. El episodio destaca dos elementos: la rapidez de Lazarus en atacar la infraestructura cripto y, al mismo tiempo, la vulnerabilidad de los activos fungibles ante los controles de los equipos originales.
Ronin / Axie Infinity (2022): el ataque más grande hasta 2025
El 23 de marzo de 2022, Lazarus atacó la Ronin Network, sidechain de Ethereum desarrollada para el juego Axie Infinity. El grupo comprometió cinco de los nueve validadores necesarios para autorizar transacciones en la cadena, logrando así transferir 173.600 ETH y 25,5 millones USDC, por un total de unos 620 millones de dólares. El ataque es una lección sobre el riesgo sistémico de los esquemas de validación semicentralizados disfrazados de descentralización. Es también el primer caso en el que la Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. sanciona directamente una billetera Ethereum, reconociéndola como herramienta estatal norcoreana.
Atomic Wallet (2023): exploit fuera del exchange
En junio de 2023, Lazarus comprometió Atomic Wallet, software de autocustodia (self-custody) no custodial usado por millones de usuarios. El exploit no afectó a un exchange, sino a dispositivos privados de los usuarios. El grupo aprovechó una vulnerabilidad en el código de la billetera para robar cerca de 100 millones USD en diversas criptomonedas. El ataque muestra una nueva frontera: atacar la capa del usuario individual, saltándose cualquier control institucional. Sin cobertura, sin reembolso. La detección del exploit y la mitigación ocurrieron demasiado tarde para cualquier recuperación significativa.
Lazarus no es un grupo criminal “normal”: actúa como instrumento de política exterior financiera para Corea del Norte, convirtiendo robos cripto en financiación para armas nucleares y misiles balísticos.
Lavado y fragmentación: la fase 2 de la operación
Apenas concluido el robo, comenzó inmediatamente la segunda fase de la operación: la dispersión sistemática de los fondos robados. Los responsables del ataque, identificados como miembros del grupo Lazarus, activaron un plan de lavado de alta eficiencia, fragmentando y ocultando los activos digitales a gran escala.
Para convertir los Ethereum robados en Bitcoin, se utilizó una serie de exchanges descentralizados (DEX) y puentes cross-chain conocidos por su ausencia de controles KYC (Know Your Customer). Entre ellos figuran THORSwap, Chainflip, Uniswap y eXch, este último ya objeto de controversias por su falta de colaboración inicial en el bloqueo de fondos. La falta de identificación obligatoria permitió a los atacantes mover rápidamente los capitales sin obstáculos regulatorios.
El proceso involucró a más de 4.400 direcciones cripto distintas, utilizadas para fragmentar los fondos y hacer más difícil su rastreo. La estrategia buscaba saturar las herramientas de vigilancia on-chain y a los equipos de cumplimiento de los exchanges, haciendo impracticable una respuesta oportuna. Esta táctica, definida como “flood the zone” (inundar la zona), es ya parte del modus operandi recurrente de Lazarus en robos a gran escala.
Según los análisis combinados de Elliptic y Bybit, cerca del 90% de los fondos robados se convirtieron en Bitcoin en los primeros días posteriores al ataque. Una vez transformados, los BTC fueron posteriormente distribuidos a través de mezcladores (mixers), billeteras intermediarias y transacciones cruzadas en blockchains alternativas.
Al menos el 20% de los fondos totales se considera “ido a la oscuridad”, es decir, ya no rastreable con las herramientas actuales de investigación blockchain. Este segmento incluye monedas ya convertidas a efectivo, criptomonedas ofuscadas mediante tumblers o activos congelados en billeteras inactivas.
A pesar de la alta sofisticación del plan, algunas contramedidas produjeron resultados parciales: solo 42,89 millones de dólares fueron congelados gracias a la intervención coordinada de algunos socios del sector, entre ellos Tether, ChangeNOW, THORchain y otros operadores que colaboraron en el reconocimiento y bloqueo de las direcciones comprometidas. Sin embargo, la cuota recuperada sigue siendo marginal respecto al monto total sustraído.
El LazarusBounty de Bybit
El 25 de febrero, Bybit lanzó LazarusBounty, el primer programa de recompensa estructurado contra un grupo ciberdelictivo estatal. En juego: 10% de los fondos robados, cerca de 140 millones USD para cualquiera que ayude en el rastreo y bloqueo de los fondos.
Al 10 de marzo de 2025, el programa LazarusBounty lanzado por Bybit comenzó a producir los primeros resultados concretos. La iniciativa, diseñada para incentivar el rastreo de los fondos robados a través de la colaboración de la comunidad cripto, permitió obtener avances significativos en el mapeo de las transacciones sospechosas.
En total, más de 4 millones de dólares en recompensas ya han sido distribuidos a sujetos que proporcionaron información útil para la identificación y el bloqueo de cerca de 40 millones de dólares en activos sustraídos. Estas notificaciones permitieron a algunos exchanges y servicios intermediarios interrumpir transacciones o congelar fondos antes de que fueran lavados completamente.
Al menos 20 colaboradores distintos –entre analistas independientes, grupos forenses y miembros de la comunidad cripto– han tomado parte activa en la operación, señalando movimientos sospechosos y mapeando rutas de transacción en tiempo real. Aunque el importe recuperado representa solo una fracción del total sustraído, la operación demuestra la eficacia de una respuesta distribuida e incentivada contra ataques sofisticados de naturaleza estatal.
Impacto en el mercado y en los usuarios
El ataque a Bybit tuvo consecuencias inmediatas en todo el mercado cripto, generando turbulencias tanto en el frente de los precios como en el plano psicológico de los inversores. A partir del día del robo, el sentimiento del mercado se deterioró rápidamente, desencadenando una oleada de ventas que afectó en particular a los dos activos más relevantes del ecosistema.
Bitcoin (BTC), que había alcanzado su máximo histórico de 109.000 $ en enero de 2025, registró una caída del 20%, descendiendo a 87.000 $ en cuestión de semanas. La presión a la baja fue amplificada por temores generalizados sobre la seguridad de la infraestructura cripto, agravados por la conciencia de que incluso los activos custodiados en billeteras frías podían ser comprometidos por ataques indirectos.
Ethereum (ETH) sufrió una contracción aún más violenta. Desde un precio de cerca de 6.200 $, cayó a 5.100 $ en solo 48 horas, quemando más de 100.000 millones de dólares en capitalización de mercado. El desplome estuvo directamente relacionado con la cantidad de ETH robados (más de 400.000) y la posterior fragmentación on-chain, que alimentó la incertidumbre sobre el grado real de rastreabilidad de los activos.
Paradójicamente, a pesar del robo, la actividad en Bybit aumentó. En los días posteriores al ataque, el exchange registró un incremento del +25% en los volúmenes de intercambio, impulsado por un masivo reingreso de capitales institucionales. Este flujo no fue casual: ocurrió después del anuncio oficial de la cobertura total de los fondos robados y de la plena operatividad de la plataforma.
Para cubrir el agujero patrimonial, Bybit recibió en menos de 48 horas 1.230 millones de dólares en ETH, provenientes de tres fuentes: préstamos puente, depósitos de “ballenas” y compras OTC (over-the-counter). La respuesta de la red mostró cómo, a pesar del ataque, el exchange mantenía solvencia y confianza operativa por parte de los actores clave del sector.
En un plazo de 72 horas desde el incidente, Bybit restableció una prueba de reservas 1:1, certificada por auditorías externas y validada on-chain. Esto contribuyó a contener la fuga de capitales y a estabilizar la posición del exchange ante los ojos del mercado.
El dato más relevante sigue siendo el flujo neto: 4.000 millones de dólares en fondos fluyeron hacia Bybit en apenas 12 horas después de la confirmación de la cobertura patrimonial. Es una señal inequívoca: a pesar de la gravedad del ataque, la rapidez y la transparencia en la respuesta consolidaron –en lugar de erosionar– la confianza de una parte significativa de los usuarios, especialmente la institucional.
Por qué este hackeo marca un punto de inflexión
El ataque a Bybit representa una fractura estructural en el paradigma de seguridad de las criptomonedas. El mito de la inviolabilidad de las billeteras frías multifirma se ha derrumbado. Consideradas durante años el estándar de seguridad más elevado, estas herramientas se revelaron vulnerables no en sus mecanismos criptográficos, sino en el punto de interacción humana. La firma de la transacción —considerada el elemento de control— se transformó en el punto de fallo. La interfaz de usuario comprometida engañó a los firmantes, induciéndoles a autorizar una operación fraudulenta. El resultado demuestra que el aislamiento físico (cold storage) no basta si el entorno de firma es manipulable.
El segundo elemento crítico se refiere a la dependencia estructural del ecosistema Web3 de componentes Web2. La infraestructura teóricamente descentralizada descansa todavía sobre servicios centralizados como AWS S3, CloudFront y entornos JavaScript no verificables. El código malicioso fue inyectado en un bucket de S3 y distribuido mediante CDN como contenido “oficial”, eludiendo todo control. Esto hace evidente que la descentralización de los protocolos no implica automáticamente la resiliencia de toda la cadena tecnológica.
El ataque marca también un cambio definitivo en la naturaleza del adversario. Ya no se trata de hackers individuales, sino de actores estatales con recursos ilimitados, motivaciones estratégicas y competencias operativas avanzadas. El grupo Lazarus opera como una extensión del poder estatal norcoreano, transformando cada robo cripto en un acto de política exterior financiera. El robo ya no es solo una pérdida económica para un exchange, sino una cuestión geopolítica con impacto en sanciones, seguridad internacional y circulación del capital digital.
Finalmente, el vector de ataque abandonó el plano puramente técnico. No se trató de un error en un contrato inteligente o de un fallo en una blockchain. Toda la operación se basó en vulnerabilidades cognitivas y procedimentales: ingeniería social, phishing dirigido, manipulación del entorno de ejecución, ceguera del usuario frente a datos no legibles. El nuevo modelo de ataque ya no explota las matemáticas, sino la falta de conciencia del operador humano y la ausencia de verificaciones independientes entre lo que se visualiza y lo que efectivamente se firma.
El robo a Bybit no es solo un incidente. Es una demostración técnica y estratégica de que la Web3, en su forma actual, está intrínsecamente expuesta a riesgos sistémicos no mitigados.
El futuro de la Web3
El hackeo de Bybit no es solo un robo, sino un ataque a la arquitectura misma de la descentralización moderna. La confianza ciega en la seguridad de los multisig y las billeteras frías es desmantelada no por una vulnerabilidad de día cero o un error criptográfico, sino por una firma aprobada por un ser humano engañado por una interfaz falsificada.
La Web3, si quiere sobrevivir, debe reformarse partiendo de sus fundamentos: la transparencia del código, la resiliencia de la infraestructura y la capacidad de reducir el error humano a cero. De lo contrario, la narrativa de la descentralización seguirá siendo una ilusión sobre una pila tecnológica vulnerable.