El hackeo de $1.5 mil millones a Bybit un año después: 88% rastreable, solo 3% congelado — Qué salió mal

11 de marzo de 2026 · 13 min de lectura

Software Engineer

El 21 de febrero de 2025, el Grupo Lazarus de Corea del Norte ejecutó el mayor robo de criptomonedas de la historia: 1,5 mil millones de dólares en Ethereum drenados de la cold wallet de Bybit en una sola transacción. Un año después, las cifras cuentan una historia aleccionadora: mientras que las empresas de análisis de blockchain rastrearon inicialmente el 88,87 % de los fondos robados, solo se ha congelado el 3,54 %. El resto permanece en miles de monederos, esperando.

Esta no es solo una historia de un atraco. Es un estudio de caso sobre cómo una operación de hackeo a nivel estatal superó la infraestructura de seguridad de toda una industria, y lo que el mundo cripto aprendió — y no logró aprender — en los doce meses transcurridos desde entonces.

El ataque: una brecha de Web2 que rompió el monedero más grande de Web3

El hackeo de Bybit no fue un exploit de contrato inteligente. No fue un ataque de préstamo relámpago (flash loan) ni un rug pull. Fue un compromiso de la cadena de suministro que apuntó a la capa humana, la capa exacta que los monederos multisig supuestamente deben proteger.

La cadena de ataque (Kill Chain)

El ataque se desarrolló durante 17 días con precisión quirúrgica:

4 de febrero de 2025: El Grupo Lazarus comprometió una estación de trabajo macOS perteneciente a un desarrollador de Safe{Wallet}, probablemente a través de ingeniería social, una táctica que el grupo ha perfeccionado a lo largo de cientos de operaciones.
19 de febrero: Los atacantes modificaron los recursos de JavaScript alojados en el bucket S3 de AWS de Safe{Wallet}. El código inyectado contenía una condición de activación diseñada para ejecutarse solo cuando la cold wallet específica de Bybit iniciara una transacción.
21 de febrero: El equipo de operaciones de Bybit inició una transferencia rutinaria de una cold wallet a una warm wallet. La interfaz de usuario de Safe{Wallet} mostró una transacción que parecía legítima. Pero detrás de la interfaz, se envió una carga útil diferente a los dispositivos de hardware Ledger de los firmantes. Tres firmantes aprobaron lo que creían que era una transferencia estándar, autorizando sin saberlo una transacción maliciosa que redirigió 401.347 ETH a monederos controlados por los atacantes.
Dos minutos después: Los atacantes subieron versiones limpias de los archivos JavaScript al bucket S3, borrando la evidencia de la inyección.

Toda la operación — desde la activación hasta la limpieza — tomó menos de diez minutos de ejecución activa. La preparación tomó semanas. Las secuelas han durado un año.

Por qué falló el Multisig

El hackeo de Bybit destrozó una suposición fundamental en la seguridad cripto: que los monederos multisig con firmantes de hardware son resistentes a ataques sofisticados. El problema no fue la seguridad criptográfica del multisig en sí. Fue la capa de interfaz de usuario que se encontraba entre los firmantes humanos y la transacción que estaban aprobando.

La interfaz de Safe{Wallet} mostraba una transacción. Los dispositivos Ledger recibieron otra. Los firmantes no tenían forma práctica de verificar los datos brutos de la transacción en sus monederos de hardware frente a lo que mostraba la interfaz web. Esta vulnerabilidad de "lo que ves no es lo que firmas" convirtió la infraestructura de monederos más confiable de la industria en un vector de ataque.

El lavado de dinero: Cómo Lazarus mueve 1,5 mil millones de dólares

Pocas horas después del robo, el Grupo Lazarus activó un manual de lavado de dinero perfeccionado durante años de operaciones. La velocidad y la sofisticación no tenían precedentes, pero la metodología era familiar para los investigadores de blockchain.

Fase 1: Conversión y dispersión

Los hackers comenzaron inmediatamente a convertir el ETH robado en otros activos. Para el 20 de marzo de 2025, el CEO de Bybit, Ben Zhou, confirmó que el 86,29 % del Ether robado se había convertido a Bitcoin. Los fondos se dispersaron en miles de monederos intermedios, creando un enorme gráfico de transacciones diseñado para abrumar la investigación manual.

Fase 2: Mezcla y ofuscación cross-chain

Los activos robados fluyeron a través de exchanges descentralizados, puentes cross-chain y servicios de mezcla. THORChain — un protocolo de liquidez cross-chain descentralizado — se convirtió en un conducto principal. El exchange anónimo eXch también facilitó intercambios, generando cientos de miles de dólares en tarifas mientras rechazaba las solicitudes de Bybit para bloquear la actividad.

El uso de infraestructura descentralizada creó un dilema filosófico y práctico para la industria: los protocolos sin permisos (permissionless) no pueden censurar selectivamente las transacciones sin socavar su propuesta de valor principal. Sin embargo, permitir que un estado-nación lave 1,5 mil millones de dólares a través de su protocolo crea un riesgo regulatorio existencial.

Fase 3: El juego de la espera

Históricamente, el Grupo Lazarus deja que los fondos robados permanezcan inactivos durante meses o incluso años antes de intentar retirarlos a través de rampas de salida (off-ramps) de dinero fiduciario. Esta paciencia es una ventaja estratégica. A medida que pasa el tiempo, los exchanges actualizan sus sistemas de cumplimiento, la atención regulatoria se desplaza y la comunidad forense de blockchain pasa a incidentes más nuevos.

Para abril de 2025, las estadísticas de trazabilidad se habían deteriorado significativamente. La cifra inicial de 88,87 % rastreable cayó al 68,6 %, mientras que el porcentaje de fondos "desaparecidos" aumentó del 7,59 % al 27,6 %. Solo el 3,8 % permanecía congelado, una cifra marginalmente mejor que el 3,54 % reportado un mes antes, pero un resultado devastador dada la escala de la movilización de la industria.

La Respuesta: 72 Horas Que Pusieron a Prueba a un Exchange

La respuesta inmediata a la crisis por parte de Bybit se convirtió en un referente para la industria. En las 72 horas posteriores al hackeo, el exchange restauró la funcionalidad completa de los retiros — un paso crítico para mantener la confianza de los usuarios durante lo que podría haber sido una corrida bancaria terminal.

Liquidez de Emergencia

El momento más dramático ocurrió cuando la CEO de Bitget, Gracy Chen, extendió un préstamo de 40,000 ETH (aproximadamente $104 millones) a Bybit — sin intereses y sin garantías. "Se trataba simplemente de apoyar a un colega en apuros", afirmó Chen. Bybit reembolsó el préstamo en tres días.

En total, Bybit recibió aproximadamente 446,870 ETH (alrededor de $1.23 mil millones) a través de una combinación de préstamos de emergencia, depósitos de ballenas y compras directas de activos. Las reservas del exchange fueron reconstruidas efectivamente, asegurando que los fondos de los clientes permanecieran íntegros a pesar del robo.

El Programa de Recompensas (Bounty)

Bybit lanzó lo que llamó el programa "LazarusBounty", ofreciendo el 10% de cualquier fondo recuperado — hasta $140 millones — a investigadores de seguridad, cazadores de recompensas e investigadores de blockchain que pudieran ayudar a rastrear o congelar los activos robados.

El programa atrajo más de 5,000 propuestas, aunque solo 63 se consideraron válidas. Se otorgó un total de $2.2 millones a 12 cazadores de recompensas. El investigador cripto ZachXBT ganó 50,000 tokens ARKM por ser uno de los primeros en vincular definitivamente el exploit al Grupo Lazarus de Corea del Norte — un hallazgo que el FBI confirmó oficialmente días después.

Reacondicionamiento de Seguridad

En los meses posteriores al hackeo, Bybit implementó más de 50 actualizaciones de seguridad y se sometió a más de 30 auditorías externas. El exchange reconstruyó su infraestructura de billeteras, trasladando los procesos de firma a entornos aislados, añadiendo controles de revisión de código más estrictos, auditando todas las herramientas de terceros e implementando detección de anomalías en tiempo real. Los procedimientos multifirma (multisig) fueron rediseñados desde cero.

A pesar de la brecha, Bybit creció de 50 millones a 80 millones de usuarios registrados para finales de 2025 — un testimonio tanto de la gestión de crisis del exchange como de la corta memoria del mercado cripto para los incidentes de seguridad.

El Panorama General: La Maquinaria de Guerra Cripto de Corea del Norte

El hackeo de Bybit no ocurrió de forma aislada. Fue la joya de la corona de una operación sistemática de robo de criptomonedas patrocinada por el estado que ha generado un estimado de $6.75 mil millones para Corea del Norte durante la última década.

Escala en Aumento

Las cifras se han ido acelerando:

2024: El Grupo Lazarus robó $1.3 mil millones en múltiples operaciones
2025: El robo total de criptomonedas atribuido a la RPDC alcanzó los $2.02 mil millones — un aumento del 51% interanual — con el hackeo de Bybit representando por sí solo $1.5 mil millones de esa cifra
2025 total de pérdidas de la industria: Superó los $4 mil millones, convirtiéndose en el peor año registrado para el robo de criptomonedas

El hackeo de Bybit representó una evolución táctica. En lugar de apuntar a puentes DeFi o explotar vulnerabilidades de contratos inteligentes — lo habitual del grupo anteriormente —, Lazarus fue tras la cadena de suministro de un proveedor de infraestructura de confianza. La superficie de ataque no fue la blockchain. Fue la Web2: la computadora portátil de un desarrollador, un bucket de AWS S3, un archivo JavaScript.

Financiando lo que Importa

Cada dólar robado financia los programas nucleares y de misiles balísticos de Corea del Norte. El Panel de Expertos de la ONU ha documentado repetidamente cómo las ciberoperaciones de la RPDC financian directamente el desarrollo de armas de destrucción masiva. El hackeo de Bybit por sí solo — con $1.5 mil millones — supera el presupuesto militar anual estimado de Corea del Norte.

Esta realidad transforma lo que de otro modo sería una historia de ciberseguridad en una cuestión geopolítica. Los fallos de seguridad de la industria cripto tienen consecuencias directas para la no proliferación nuclear global.

Lo Que la Industria Aprendió (y Lo Que No)

El hackeo de Bybit catalizó mejoras significativas en las prácticas de seguridad cripto. Pero un año después, las vulnerabilidades fundamentales que permitieron el ataque siguen siendo generalizadas en toda la industria.

Lo Que Cambió

Los estándares de verificación multifirma (multisig) mejoraron. Los principales exchanges y proveedores de custodia implementaron canales de verificación de transacciones independientes, reduciendo la dependencia de una sola capa de interfaz de usuario. El concepto de "lo que ves es lo que firmas" pasó de ser una preocupación académica a una prioridad operativa.

Aumentó la concienciación sobre la seguridad de la cadena de suministro. La industria cripto comenzó a adoptar prácticas que han sido estándar durante mucho tiempo en la seguridad de software tradicional: firma de código, verificación de integridad para dependencias de terceros y arquitectura de confianza cero (zero-trust) para la infraestructura de firma.

La atención regulatoria se intensificó. Agencias en los Estados Unidos, Singapur y la Unión Europea comenzaron a revisar requisitos más estrictos para auditorías de billeteras, divulgación de riesgos, controles de la cadena de suministro de software y transparencia en la respuesta a incidentes.

Lo Que No Cambió

La tasa de recuperación del 3% habla por sí sola. A pesar de los $140 millones en incentivos de recompensa, los esfuerzos combinados de Bybit, las empresas de análisis de blockchain, las agencias de aplicación de la ley y miles de cazadores de recompensas recuperaron menos de $50 millones de los $1.5 mil millones robados. La infraestructura sin permisos (permissionless) sigue siendo fundamentalmente resistente a la recuperación de activos tras un robo.

Los protocolos descentralizados aún no pueden (o no quieren) censurar. THORChain y eXch facilitaron el lavado de miles de millones. La tensión entre el diseño sin permisos y la cooperación con las fuerzas del orden sigue sin resolverse, y la industria no tiene un marco para navegar el robo a escala estatal a través de infraestructura descentralizada.

La seguridad operativa de los desarrolladores sigue siendo débil. El compromiso inicial fue la computadora portátil de un solo desarrollador. Un año después, la mayoría de los proyectos cripto aún carecen de requisitos formales de seguridad para las estaciones de trabajo de los desarrolladores, y la dependencia de la industria de las interfaces de billeteras basadas en navegador continúa exponiendo los procesos de firma a ataques en la capa web.

Un año después: Dónde se encuentra el dinero

A partir de febrero de 2026, el desglose aproximado de los $ 1.5 mil millones en fondos robados es:

~ 3-4 % congelado (~ $ 42-57 millones): Congelado con éxito a través de la cooperación con exchanges y la coordinación con las fuerzas del orden.
~ 27-30 % en la oscuridad: Fondos que han sido mezclados, transferidos a través de puentes (bridged) o de otro modo ofuscados más allá de las capacidades actuales de rastreo.
~ 66-70 % rastreables pero irrecuperables: Se encuentran en billeteras identificadas que ninguna entidad centralizada tiene la autoridad o capacidad de congelar.

Esta última categoría es la más frustrante. La transparencia de la blockchain permite que los investigadores vean el dinero. Saben dónde está. Pero "rastreable" no significa "recuperable" en un sistema sin permisos (permissionless). El Grupo Lazarus puede permitirse esperar años. La comunidad de investigación no.

Mirando hacia adelante

El primer aniversario del hackeo de Bybit no es una historia con una resolución. Es una historia que aún se está desarrollando. Los fondos robados continúan moviéndose en pequeños lotes. El Grupo Lazarus continúa sondeando nuevos objetivos. Y las tensiones estructurales que el hackeo dejó al descubierto — entre la descentralización y la rendición de cuentas, entre los protocolos sin permisos y las fuerzas del orden, entre la seguridad y la usabilidad — siguen siendo tan críticas como siempre.

Lo que el hackeo de Bybit demostró finalmente es que la mayor vulnerabilidad de la industria cripto no son sus smart contracts ni sus mecanismos de consenso. Es la infraestructura humana y de la Web2 la que conecta esos sistemas con el mundo físico. Hasta que la industria aborde esa brecha con el mismo rigor que aplica al diseño de protocolos, la pregunta no es si ocurrirá el próximo hackeo de mil millones de dólares. Es cuándo.

Para los equipos que construyen sobre infraestructura blockchain, la seguridad comienza con la base. BlockEden.xyz proporciona infraestructura de nodos de grado empresarial con monitoreo incorporado y detección de anomalías en Ethereum, Sui, Aptos y más de 20 redes — diseñada para equipos que no pueden permitirse comprometer la seguridad. Explore nuestro marketplace de API para construir sobre una infraestructura en la que pueda confiar.

Share on Twitter

API Marketplace Featured

El ataque: una brecha de Web2 que rompió el monedero más grande de Web3​

La cadena de ataque (Kill Chain)​

Por qué falló el Multisig​

El lavado de dinero: Cómo Lazarus mueve 1,5 mil millones de dólares​

Fase 1: Conversión y dispersión​

Fase 2: Mezcla y ofuscación cross-chain​

Fase 3: El juego de la espera​

La Respuesta: 72 Horas Que Pusieron a Prueba a un Exchange​

Liquidez de Emergencia​

El Programa de Recompensas (Bounty)​

Reacondicionamiento de Seguridad​

El Panorama General: La Maquinaria de Guerra Cripto de Corea del Norte​

Escala en Aumento​

Financiando lo que Importa​

Lo Que la Industria Aprendió (y Lo Que No)​

Lo Que Cambió​

Lo Que No Cambió​

Un año después: Dónde se encuentra el dinero​

Mirando hacia adelante​