El Grupo Lazarus de Corea del Norte es descubierto como el grupo detrás del hackeo a Bybit

Bybit fue atacado hoy por hackers, y ahora sabemos exactamente quién lo hizo. El infame Grupo Lazarus, el sindicato de cibercriminales respaldado por el estado de Corea del Norte, ha sido expuesto como el cerebro detrás del exploit de 1.500 millones de dólares de Bybit, el mayor robo de criptomonedas de la historia.

La confirmación provino de ZachXBT, uno de los detectives en cadena más respetados en el espacio, quien arrojó evidencia indiscutible que vincula a Lazarus con el ataque.

Arkham Intelligence, que había ofrecido una recompensa de 50.000 dólares en ARKM paradenta los atacantes, confirmó rápidamente los hallazgos. El análisis, según se informa, incluyó conexiones de billeteras, transacciones de prueba y datos forenses en cadena, todo lo cual apuntaba directamente al Grupo Lazarus.

ZachXBT, en colaboración con Josh de ChainFeeds (CF), relacionó la brecha de seguridad de Bybit con un ataque previo a Phemex, otra plataforma de intercambio de criptomonedas. Su investigación demostró que en ambos casos se utilizaron las mismas direcciones, patrones de lavado de activos y métodos de explotación. Estaba claro: Lazarus estaba detrás de todo.

BREAKING: ZACHXBT RESUELTO EL PROYECTO DE RECOMPENSA DE 1000 MILLONES DE DÓLARES POR HACKEO DE BYBIT

A las 19:09 UTC de hoy, @zachxbt presentó defide que este ataque a Bybit fue realizado por el GRUPO LAZARUS.

Su presentación incluyó un análisis detallado de las transacciones de prueba y las billeteras conectadas utilizadas antes de… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Arkham (@arkham) 21 de febrero de 2025

La recompensa de Arkham, valorada en 32.000 dólares, fue una gota en el océano comparada con lo que Bybit acaba de perder. Pero la velocidad con la que funcionó la recompensa es increíble. En una hora, ZachXBT había resuelto el caso.

El Lázaro norcoreano ha estado drenandomaticla industria de las criptomonedas durante años, financiando el programa de misiles balísticos de Pyongyang con criptomonedas robadas.

El director ejecutivo de Bybit, Ben Zhou, confirmó que la plataforma de intercambio sigue plenamente operativa tras el ataque, asegurando a los usuarios que: «Las billeteras calientes, las billeteras tibias y todas las demás billeteras frías de Bybit funcionan correctamente. La única billetera fría que fue atacada fue la de ETH. Todos los retiros son normales»

En una declaración posterior, Zhou reiteró que Bybit sigue siendo solvente a pesar de los fondos robados. «Todos los activos de nuestros clientes están respaldados 1 a 1. Podemos cubrir la pérdida»

Antes del hackeo de Bybit de hoy, el mayor exploit en la historia de las criptomonedas fue el ataque a la red Ronin de $600 millones el 23 de marzo de 2022.

Zhou explicó que la billetera fría multifirma de Ethereum (ETH) de Bybit había realizado una transferencia a la billetera caliente del exchange aproximadamente una hora antes del ataque. Al principio, la transacción parecía normal.

“Parece que esta transacción específica fue enmascarada”, dijo Zhou. “Todos los firmantes vieron una interfaz enmascarada que mostraba la dirección correcta, y la URL era de Safe”

Pero el mensaje de firma real alteró la lógica deltracinteligente de la billetera fría de ETH de Bybit. Esto permitió al hacker tomar el control de la billetera y transferir todos los ETH a una dirección nodent.