Bybit ha sufrido el mayor hackeo en la historia de las criptomonedas, con más de 400,000 ETH, equivalentes a unos $1,400 millones, robados a través de una falla en su infraestructura de firma multi-firma basada en Safe. Este incidente marca el tercer gran robo en seis meses atribuido al grupo Lazarus, elevando el total de sus robos a más de $3,000 millones.
El hackeo de Bybit: Una lección de seguridad para la industria de las criptomonedas
Los atacantes aprovecharon una vulnerabilidad bien conocida: la firma ciega (blind signing), una falla de seguridad que permite a los hackers manipular las transacciones sin que los firmantes puedan verificar fácilmente lo que están aprobando.
¿Cómo se orquestó el hackeo de Bybit?
Aunque aún no se han confirmado todos los detalles técnicos, el modus operandi parece similar a los ataques sufridos por Radiant y WazirX. El ataque se basa en comprometer las computadoras de los firmantes autorizados.
¿Cómo evitar este tipo de ataques?
1️⃣ Poner fin a la firma ciega (blind signing)
La firma ciega es uno de los mayores peligros en las criptomonedas. Obliga a los usuarios a firmar transacciones sin poder verificar claramente su contenido. Es como firmar un cheque en blanco, una oportunidad para los atacantes.
Solución:
✅ Utilizar soluciones de firma clara (Clear Signing), como las ofrecidas por Ledger.
✅ Verificar todas las transacciones en una pantalla segura, en lugar de interfaces web vulnerables.
✅ Avoid signing transactions containing opaque calldata.
2️⃣ Adoptar soluciones de custodia institucional
Las empresas deben reconsiderar la seguridad de sus fondos. Las soluciones de multifirma on-chain son útiles, pero tienen riesgos si los firmantes son comprometidos.
Solución:
✅ Adoptar una solución de custodia externa segura, como Ledger Enterprise, que aplica un control off-chain de las transacciones.
✅ Implementación de reglas de gobernanza avanzadas, como la doble validación de transacciones y la verificación a través de dispositivos seguros.
✅ Restringir las direcciones de destino con listas blancas, para evitar el envío de fondos a direcciones desconocidas.
3️⃣ Reforzar la ciberseguridad interna
Los hackers a menudo explotan fallas humanas antes de dirigirse a fallas técnicas. Lazarus no solo se enfoca en los contratos inteligentes, también se infiltran en las máquinas de los empleados clave.
Solution:
✅ Capacitar a los equipos en los riesgos de phishing y ataques dirigidos.
✅ Utilizar dispositivos dedicados para firmar transacciones, que nunca se conecten a Internet.
✅ Implementar protocolos de seguridad de confianza cero para evitar la compromiso de las máquinas.
¿Por qué Ledger Clear Signing habría evitado este hackeo?
Ledger ha desarrollado una tecnología llamada Clear Signing, que permite visualizar de manera precisa lo que una transacción va a ejecutar antes de firmarla.
Ventajas:
✅ Eliminación de la firma ciega: El usuario puede ver claramente la dirección de destino, el monto y las modificaciones contractuales.
✅ Simulación de transacciones antes de su validación: Los firmantes hubieran visto que la transacción modificaba el contrato inteligente Safe, no era una simple transferencia.
✅ Seguridad a través de una billetera de hardware: Incluso si una computadora está comprometida, la decisión final recae en un dispositivo seguro e inviolable.
Si Bybit hubiera utilizado Ledger Enterprise con Clear Signing, sus firmantes potencialmente habrían identificado la anomalía y bloqueado la transacción. Este tipo de ataque se vuelve mucho más complejo con dicho dispositivo.
Hacia un futuro más seguro
El incidente de Bybit debe servir como un despertador para toda la industria. Si incluso las principales plataformas pueden ser comprometidas, eso demuestra cuán importante es repensar la seguridad en todos los niveles.
Ya sea que sea una empresa que maneja miles de millones o un individuo protegiendo sus ahorros, las lecciones son las mismas:
🚨 Nunca firmes algo que no entiendas.
🔐 Opta por soluciones de custodia seguras.
🛡 Utiliza tecnologías como Ledger Clear Signing para evitar manipulaciones.
