Parece el guión de una película moderna de acción. No falta ningún ingrediente: un fallo de seguridad, un robo millonario y una recompensa para recuperar el botín. Pero en lugar de un banco, los ladrones ahora prefieren internet. Tampoco sustraen dinero en metálico sino criptomonedas.
Y así es como la plataforma Bybit ha sufrido el mayor robo de la historia. Un hacker sin identificar ( o un grupo, probablemente) aprovechó un fallo de seguridad en una de las llamadas billeteras frías y robó 1.460 millones de dólares en cripto Ethereum. Es decir, el robo se produjo en un sistema de almacenamiento sin conexión que guarda las claves privadas de los clientes. Son billeteras que no están conectadas a internet y hackearlas es mucho más difícil. Pero complicado no es imposible, y a golpe de clic, sin tener que salir de casa, el o la ladrona ha conseguido desviar 400.000 token. Lo sorprendente es que, para acceder a esa billetera fría y sacar el dinero, se requieren múltiples autorizaciones hasta que la plataforma te permite aprobar una transacción.
Como consecuencia, tras el anuncio del ataque, la cripto llegó a caer más de un 6%. Según Rob Behnke, cofundador y presidente ejecutivo de la firma de seguridad blockchain Halborn, se trata del “mayor incidente de la historia, no solo en el mercado cripto”.
Y lo más cinematográfico de todo es que el propio director ejecutivo de la plataforma, Ben Zhou, fue el último en validar esa transacción. Un robo redondo y muy bien diseñado que no fue detectado por los sistemas de seguridad de Bybit, que se dieron cuenta cuando ya no quedaba ni rastro del dinero. Es lo que se denomina, phishing, una estafa que consiste en suplantar la identidad de los usuarios para robar información fundamental y así acceder con las contraseñas a las cuentas online. En esta ocasión, un phishing de guante blanco.
Pero ya se sabe que los inversores son muy miedosos y en cuanto la noticia se hizo pública, el nerviosismo se apoderó de los clientes, que empezaron a solicitar en masa la retirada de fondos. Pese al mensaje tranquilizador que lanzó el cofundador de la empresa Bybit, Ben Zhou, que explicó a través de las redes sociales que reembolsaría el dinero sustraído a los perjudicados. “El incidente ocurrió cuando nuestra billetera fría de ethereum ejecutó una transferencia a nuestra billetera caliente. Desafortunadamente, esta transacción fue manipulada a través de un ataque sofisticado que enmascaró la interfaz de la firma, mostrando la dirección correcta mientras alteraba la lógica subyacente del contrato inteligente”, explicaba en la red social X, para poco después asegurar que “Bybit es solvente incluso si no se recupera lo perdido por el hackeo, todos los activos de los clientes están respaldados uno a uno, podemos cubrir la pérdida”.
La plataforma, la segunda más grande por volumen de operaciones solo por detrás de Binance, tiene más de 60 millones de usuarios en todo el mundo. Y su máximo responsable afrontó una estrategia de comunicación impecable en una situación de crisis reputacional sin precedentes ya que, después de informar sobre el ataque, apenas una hora después, el director ejecutivo respondió a las dudas de los inversores en una comparecencia por streaming, explicando pormenorizadamente los detalles. Aún así, hubo más de 350.000 solicitudes de clientes que pidieron retirar los fondos ante el temor de una pérdida del valor de la cripto.
Recompensa
Y como en el mejor de los Western, la empresa ha prometido una recompensa por un valor del 10% de los fondos robados para quienes ayuden a recuperar el dinero. 146 millones de dólares para quien consiga rastrear dónde se ha escondido ese dinero aunque, por el momento, nadie tiene identificado a los ladrones aunque se habla de un grupo llamado Lazarus de Corea del Norte. Pero no hay nombres propios sobre la mesa, lo que pone de manifiesto la vulnerabilidad de estas plataformas y la necesidad de invertir más en ciberseguridad.
Según BitMEX Research, “alrededor del 75% de los depósitos de ethereum de los usuarios de la plataforma han sido robados”. Eso significa que estarían afectados todos los usuarios, sin excepción. Un robo que pasará a la historia por la cantidad sustraída sin dejar rastro, a la altura de otros famosos como el de la joyería Harry Winston en París en el año 2008. En su caso fueron cuatro atracadores que entraron en la joyería a plena luz del día disfrazados de mujeres.
O el robo de la Mona Lisa en 1911. Un trabajador del museo vestido con bata blanca descolgó el cuadro y salió del museo con el retrato más icónico escondido debajo de su ropa. El ladrón fue pillado cuando intentaba venderlo a un comerciante de arte en Florencia y la Mona Lisa pudo regresar a París.