Topics What's Happening

Incidente de seguridad de Bybit: calendario de eventos y preguntas frecuentes

Principiante
What's Happening
3 de mar de 2025

Introducción

Bybit sufrió un importante incidente de piratería el 21 de febrero de 2025, que afectó a una de las carteras frías de Ethereum de Bybit y provocó pérdidas de casi 1500 millones de USD. El exploit está vinculado al Grupo Lazaro, respaldado por el estado de Corea del Norte.

Calendario de los eventos

21 de febrero de 2025, 13:30 UTC: Bybit llevó a cabo una transferencia rutinaria de una de nuestras carteras frías multisig de Ethereum a una cartera caliente, transfiriendo primero una cantidad de 30,000 ETH.

21 de febrero de 2025, 14:13 UTC: Los hackers explotaron la interfaz de usuario de la billetera fría multisig segura a través de un sofisticado ataque de phishing, haciendo almizcle de la transacción específica, lo que dio lugar al cambio en la lógica de contrato inteligente de la billetera fría ETH. Esto permitió a los hackers transferir los fondos de la billetera fría comprometida, dividiéndolos en 39 direcciones.

¿Cuánto se perdió en el hackeo?

Solo se comprometió una sola cartera fría de Bybit, lo que dio lugar a una pérdida de 1460 millones de USD de la siguiente manera:

  • 401,347 ETH ($1.120 millones)

  • 90,375 stETH ($253.16 millones)

  • 15,000 cmETH ($44.13 millones)

  • 8,000 mETH ($23 millones)

21 de febrero de 2025, 15:44 UTC: El cofundador y director ejecutivo de Bybit, Ben Zhou, tuiteó sobre la situación en evolución, informando a la comunidad desde el principio de que los hackers "tomaron el control de la billetera fría ETH específica" y asegurando a los usuarios que Bybit es solvente y puede cubrir la pérdida, asegurando que los activos de los clientes estén respaldados 1:1.

21 de febrero de 2015, 16:07 UTC: Ben reiteró en su publicación X que "Bybit es solvente incluso si esta pérdida de hackeo no se recupera, [y] todos los activos de los clientes están respaldados de 1 a 1, [así] podemos cubrir la pérdida".

21 de febrero de 2025, 17:15 UTC: Ben inició una transmisión en vivo para explicar la situación de forma transparente a los usuarios afectados.

¿Cómo ocurrió el hackeo?

A través de un ataque de phishing a los signatarios de la billetera fría Ethereum, la transacción y la interfaz de usuario segura se falsificaron, lo que permitió al hacker cambiar la lógica de contrato inteligente de la billetera multisig. Esto permitió al hacker obtener el control de la cartera fría de Bybit y transferir los fondos. Nuestro equipo aún está investigando cómo el hacker pudo falsificar la billetera fría, y publicaremos un informe post mortem completo en breve.

Sin planes de comprar ETH

Ben declaró durante una transmisión en vivo que actualmente no hay planes de comprar ETH. Sin embargo, subrayó que la empresa está buscando activamente ayuda y aprovechando los préstamos puente de los socios, para superar las restricciones de liquidez durante este período crítico.

Otras carteras frías son seguras

Ben aclaró que el Bitcoin sigue siendo el principal activo de reserva y que otras carteras frías no se ven afectadas.

Retiros como de costumbre

Ben aseguró a los usuarios que todos los productos y servicios funcionan como de costumbre. Los retiros no se han detenido y siguen procesándose de forma normal.

Servicios P2P normales

El Jefe de Derivados e Institucionales de Bybit, Shunyet Jan, confirmó durante la transmisión en vivo que los servicios P2P de la plataforma funcionan normalmente.

21 de febrero de 2025, 19:09 UTC: ZachXBT presentó una prueba definitiva que vinculaba el ataque al Grupo Lázaro, una organización cibercriminal de Corea del Norte, y reclamó la recompensa de Arkham Intelligence. Su análisis incluía transacciones de prueba, billeteras conectadas, gráficos forenses y detalles de tiempo. Según ZachXBT, el grupo de direcciones también está vinculado al hackeo de Phemex y BingX.

21 de febrero de 2025, 20:09 UTC: Bitget depositó 40,000 ETH en Bybit, lo que demuestra el fuerte apoyo demostrado por los socios del sector y sus compañeros.

21 de febrero de 2025, 21:07 UTC: Bybit informó del caso a las autoridades correspondientes y proporcionará actualizaciones tan pronto como haya más información disponible. Colaboraba activamente con proveedores de análisis on-chain para identificar y desmezclar las direcciones implicadas.

22 de febrero de 2025, 00:54 UTC: Ben anunció que el 99.994% de las más de 350,000 solicitudes de retiro se habían procesado dentro de las 10 horas posteriores al hackeo, y el equipo de Bybit trabaja las 24 horas para garantizar operaciones fluidas y garantizar las preocupaciones de los clientes.

22 de febrero de 2025, 01:08 UTC: Safe confirmó que no había ningún compromiso de su base de código, ni ninguna dependencia maliciosa, y que no se vieron afectadas otras direcciones seguras. Tras el incidente, Safe ha pausado temporalmente su funcionalidad {Wallet} para realizar una revisión exhaustiva del servicio.

22 de febrero de 2025, 01:21 UTC — Hacken declaró que el hackeo de Bybit era significativo y había sufrido un fuerte golpe en la industria. Sin embargo, las reservas de Bybit siguen superando sus pasivos y sus fondos de usuario siguen estando totalmente respaldados.

22 de febrero de 2025, 02:51 UTC: Ben tuiteó que se han procesado todos los retiros y que la plataforma ha reanudado las operaciones normales, menos de 12 horas después del incidente de piratería de $1,4 mil millones, el mayor del sector hasta la fecha.

22 de febrero de 2025, 07:29 UTC: Según los últimos datos de supervisión de SoSoValue y el equipo de seguridad on-chain TenArmor, más de 4000 millones de USD en fondos han llegado a la plataforma de trading de Bybit en las últimas 12 horas. El análisis comparativo de la entrada de fondos indica que esta entrada de capital ha cubierto completamente el déficit causado por el hackeo de ayer.

22 de febrero de 2025, 08:52 UTC — Chainflip respondió el X, afirmando que, aunque han hecho todo lo posible por ayudar, como protocolo descentralizado, no pueden bloquear, congelar o redirigir completamente ningún fondo.

22 de febrero de 20225, 11:00 UTC: Ben y Shunyet celebraron una AMA en chino con ETHPanda, Wu Blockchain, Gracy Chen, directora general de Bitget y otros participantes, para hablar sobre el incidente de piratería y compartir sus conocimientos sobre cómo gestionarlo.

22 de febrero de 2025, 13:15 UTC — El director general de Tether, Paolo Ardoino, anunció que Tether había congelado 181 000 USDT vinculados al hackeo.

22 de febrero de 2025, 13:45 UTC: Bybit procesó aproximadamente 4000 millones de USD en retiros tras el aumento (después de la explotación). Hacken confirmó que los fondos de usuario de Bybit siguen estando totalmente respaldados, con reservas que aún superan los pasivos.

22 de febrero de 2025, 15:32 UTC: Bybit lanzó un Programa de recompensas de recuperación, con una recompensa del 10 % de los fondos robados. Para participar, ponte en contacto con Bybit en bounty_program@bybit.com

22 de febrero de 2025, 16:01 UTC: Ben participó en una AMA en vivo con el Ayuntamiento de Cripto, para hablar sobre cómo estaba manejando la situación después del hackeo; el apoyo de la industria que Bybit recibió de compañeros, como Bitget; y la forma en que el equipo de Bybit estaba trabajando incansablemente para manejar la crisis.

Ben también afirmó que revertir Ethereum debería ser una decisión comunitaria, en lugar de una opción individual, posiblemente a través de un voto.

23 de febrero de 2025, 04:32 UTC:Ben enfatizó que el problema va más allá de Bybit o cualquier entidad individual, afirmando: "Se trata del enfoque de nuestro sector hacia los hackers". Instó a eXch a reconsiderar y ayudar a bloquear la salida de fondos.

23 de febrero de 2025, 08:55 UTC: Bybit anunció que todos los depósitos y retiros se han reanudado a los niveles normales.

23 de febrero de 2025, 15:41 UTC: en total, se congelaron $42.89 millones de fondos explotados, gracias a los esfuerzos coordinados de los socios del sector, incluidos Tether, THORchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget y Circle. Además, el protocolo mETH recuperó tokens de 15,000 cmETH por valor de casi $43 millones.

24 de febrero de 2025, 02:35 UTC — Dos días después del hackeo, Bybit recibió $1,23 mil millones en ETH a través de préstamos puente, depósitos de ballenas y compras OTC, cubriendo efectivamente el déficit de ETH del exploit.

24 de febrero de 2025, 09:12 UTC: Hacken, una empresa de seguridad de blockchain independiente, publicó un informe actualizado de prueba de reservas (PoR). Bybit ha cerrado completamente la brecha de ETH de los activos de los clientes en un plazo de 72 horas, a través de asociaciones estratégicas con Galaxy Digital, FalconX, Wintermute y otros, junto con el apoyo de Bitget, MEXC y DWF Labs. Los activos clave, como BTC, ETH, SOL, USDT y USDC, exceden los coeficientes de garantía del 100 %. Los usuarios pueden leer el informe completo aquí.

25 de febrero de 2025, 14:40 UTC: Ben anunció el lanzamiento del programa LazarusBounty, la primera plataforma de recompensas del sector que tiene como objetivo específicamente recuperar fondos supuestamente robados por el Grupo Lazarus, respaldado por el estado de Corea del Norte, en el exploit de Bybit.

26 de febrero de 2025, 15:17 UTC: Ben compartió los informes preliminares del hackeo. Estos informes, realizados por Sygnia Labs y Verichains, han sugerido que la causa raíz del hackeo se debió al código JavaScript malicioso en la plataforma Safe{Wallet} y no se detectó vulnerabilidad en la infraestructura de Bybit. Para obtener más información, descarga los informes aquí.

28 de febrero de 2025, 13:25 UTC — Ben anunció la actualización V1.1 de la plataforma LazarusBounty, que añadió lo siguiente:

  • un análisis de direcciones de hackers entre cadenas

  • Discordar canal

  • saldo de billetera de dirección de hacker

  • Clasificación verificada de cazadores de recompensas

#LearnWithBybit