El mes pasado, hackers robaron la asombrosa suma de 1.500 millones de dólares de la plataforma de intercambio de criptomonedas Bybit, en lo que el mercado denominó "el mayor robo digital de la historia". Como era de esperar, la magnitud del ataque ha llevado a muchos a cuestionar nuevamente la seguridad de las criptomonedas, y los críticos señalan las vulnerabilidades de seguridad de la industria. Pero aquí está el giro inesperado: las billeteras cumplieron su función. El problema no fue un fallo de la tecnología subyacente, sino un fallo de la seguridad "humana".
¿Qué salió mal exactamente?
La conclusión es que el hackeo de Bybit no fue una falla de seguridad de blockchain: los atacantes no descifraron un sistema impenetrable; manipularon a las personas…
En términos muy simples, el ataque ocurrió cuando la empresa estaba realizando una transferencia rutinaria de Ethereum desde una billetera "fría" fuera de línea (una solución de almacenamiento fuera de línea altamente segura diseñada para proteger los activos de amenazas cibernéticas al mantener las claves privadas completamente desconectadas de Internet) a una billetera "caliente" (una billetera semi-en línea utilizada para liquidez operativa, que permite un acceso más rápido a los fondos y mantiene algunas medidas de seguridad) para las actividades comerciales diarias.
Los hackers accedieron a la cuenta de software que ayuda a Bybit a controlar estas transferencias al comprometer el equipo de un desarrollador. Modificaron remotamente la interfaz de usuario e inyectaron código malicioso que manipuló el proceso de aprobación de transacciones de la billetera. Los empleados que suelen aprobar estas transferencias vieron lo que parecían transacciones legítimas, pero entre bastidores, los atacantes reescribieron las reglas y desviaron los fondos directamente a cuentas controladas por los hackers.
Para empeorar las cosas, el ataque utilizó la firma a ciegas. Al aprobar las transacciones, los empleados firmaban algo que no podían ver completamente en la pantalla. Los atacantes manipularon este proceso con tanta eficacia que los empleados creyeron que estaban aprobando transferencias rutinarias.
La combinación de manipulación de la interfaz de usuario y firma a ciegas creó un engaño casi perfecto. Sin embargo, es importante destacar que no fue la tecnología de las criptomonedas la que falló, sino un error humano catastrófico.
¿Se pueden recuperar los fondos?
El ataque ha sido atribuido al grupo de piratería Lazarus Group, patrocinado por el estado de Corea del Norte, que tiene antecedentes de atacar los intercambios de criptomonedas para financiar la economía de Corea del Norte y sus programas sancionados.
La trazabilidad de la cadena de bloques es un obstáculo para este grupo. Con todos los ojos puestos en los fondos robados y cada transacción de la cadena de bloques a la vista del público, depositar el dinero será tan difícil como robarlo (aunque algunos fondos también se han convertido en monedas centradas en la privacidad, como Monero, que son mucho más difíciles de rastrear).
Es importante destacar que Bybit actuó con rapidez para tranquilizar a sus clientes y trabajó con rapidez para obtener fondos de emergencia y restablecer la liquidez. También lanzó un programa integral de recompensas que ofrece un 5% de recompensa a personas o empresas que ayuden a identificar y congelar estos fondos robados. Se ha creado una tabla de clasificación en tiempo real para seguir el progreso, ¡convirtiendo a los expertos en criptomonedas en héroes!
Previniendo futuros ataques
Si hay una conclusión que podemos sacar de este ataque es que la industria necesita mayor protección contra los delitos cibernéticos, incluidos los delitos cibernéticos dirigidos contra humanos.
Los intercambios deben ir más allá de la seguridad tradicional: el peligro de la "firma ciega" ha quedado claro y debe eliminarse gradualmente en favor de la firma de transacciones claras para que los usuarios puedan ver realmente lo que están aprobando.
Además, la autenticación multifactor para este tipo de firma podría habilitarse si las plataformas de intercambio optan por usar monederos de computación multipartita, que han empezado a ganar popularidad en muchos círculos frente a las frases semilla, lo que dificulta considerablemente la vulneración de claves. Los monederos MPC distribuyen fragmentos de clave privada entre múltiples partes, lo que reduce el riesgo de un único punto de fallo. A diferencia de las frases semilla tradicionales, MPC elimina el riesgo de que una sola clave expuesta provoque la vulneración completa de la cuenta.
Los empleados necesitan una mejor capacitación : los simulacros de ciberataques deben ser rutinarios y la capacitación en concientización sobre el phishing debe ser continua. Los atacantes son cada vez más astutos y las plataformas de intercambio deben asegurarse de que sus equipos puedan identificar una señal de alerta antes de que sea demasiado tarde.
El monitoreo en tiempo real debe ser el estándar : los sistemas de seguridad impulsados por IA pueden marcar patrones de transacciones inusuales al instante, lo que desencadena revisiones inmediatas y ayuda a prevenir retiros no autorizados.
El panorama más amplio
Este hackeo no expuso fallas en la propia cadena de bloques, pero sí expuso los riesgos de error humano y engaño. Sin embargo, esta distinción no tuvo mucha repercusión para el público en general. El daño ya estaba hecho, y la confianza en la seguridad de las criptomonedas sufrió otro golpe.
Los hackers seguirán atacando… La verdadera pregunta es si la industria de las criptomonedas aprenderá de Bybit y actuará ahora para prevenir el próximo ataque. Si no lo hacen, es solo cuestión de tiempo antes de que otra brecha de seguridad de mil millones de dólares vuelva a sacudir el mercado.
