El mundo de las criptomonedas continúa enfrentando desafíos constantes debido a la sofisticación creciente de los ciberataques. Uno de los casos más impactantes y recientes es el asalto al exchange ByBit ocurrido en 2025, en el cual se sustrajeron aproximadamente 400,000 ETH, equivalentes a más de mil millones de dólares. Investigadores de la firma de seguridad Elastic llevaron a cabo una exhaustiva reconstrucción del ataque, revelando las tácticas utilizadas por el grupo norcoreano TraderTraitor y ofreciendo valiosas recomendaciones para prevenir futuros incidentes. El robo comenzó a gestarse el 4 de febrero de 2025, cuando los hackers lanzaron un ataque de ingeniería social dirigido hacia un desarrollador que trabajaba con sistemas macOS. Aprovechando plataformas como Telegram y Discord para distribuir malware, los atacantes lograron comprometer el equipo del desarrollador mediante la explotación de una vulnerabilidad en la biblioteca PyYAML de Python.
Esta falla de ejecución remota de código (RCE) resultó ser el punto de entrada para el despliegue de herramientas maliciosas como un cargador secundario y el agente Poseidon MythicC2. Una vez que los atacantes obtuvieron acceso a la estación de trabajo del desarrollador, su objetivo principal fue capturar credenciales temporales de sesión AWS que permitieran acceder a la infraestructura del proveedor multisignature Safe{Wallet}, vinculado con ByBit. Utilizando estos tokens robados, la amenaza persistente avanzó silenciosamente realizando un reconocimiento extensivo durante dos semanas dentro del entorno de Safe{Wallet}. El punto crítico del ataque se evidenció el 19 de febrero, cuando los hackers modificaron el código JavaScript alojado en los servicios frontend de app.safe.
global. Este cambio maligno redirigió todas las transacciones realizadas por ByBit hacia carteras controladas por el grupo atacante. La manipulación del código fuente permitió la transferencia sigilosa de fondos sin alertar a los usuarios ni a la plataforma durante un periodo significativo. Elastic demostró en entornos controlados que la modificación de los archivos alojados en Amazon S3 comprometía la integridad del software y permitía el control total sobre las transacciones. El incidente reveló la falta de mecanismos de seguridad esenciales en el despliegue de ByBit y Safe{Wallet}, como controles de integridad mediante Subresource Integrity (SRI) o la imposibilidad de alterar objetos en S3 mediante bloqueos de inmutabilidad.
Intentos posteriores por parte de los atacantes para establecer dispositivos de autenticación multifactor virtual y mantener el acceso a largo plazo fueron bloqueados gracias a las protecciones nativas de AWS. Sin embargo, el daño ya estaba consumado, y la pérdida millonaria demostró cómo los vectores de ataque dirigidos a la cadena de suministro y el ecosistema de desarrollo pueden tener consecuencias devastadoras. El análisis de Elastic también destacó la importancia de correlacionar los datos provenientes de múltiples fuentes, como logs de AWS CloudTrail y alertas en los endpoints, para detectar actividades críticas como la eliminación de scripts Python y cargas inusuales a servicios en la nube. Estas señales podrían ser clave para una respuesta rápida frente a actividades maliciosas en curso. En la revisión de patrones históricos, se mencionó que el grupo TraderTraitor pertenece a una unidad cibernética norcoreana responsable de robos acumulados superiores a los seis mil millones de dólares desde 2017.
La táctica recurrente incluye ataques de tipo phishing dirigidos y compromisos de proveedores tercerizados para infiltrar grandes objetivos del sector de las criptomonedas, lo que subraya la necesidad de una defensa robusta y una vigilancia continua. Desde la perspectiva de la seguridad, Elastic aboga por un enfoque integral que combine capacitación efectiva para usuarios y desarrolladores, la implementación rigurosa de controles de sesión en infraestructuras en la nube y la adopción de configuraciones de seguridad avanzadas para proteger archivos y objetos cruciales en servicios como Amazon S3. Este caso destaca también la vulnerabilidad que representa la cadena de suministro tecnológica dentro del sector cripto, donde la confianza en proveedores externos puede ser explotada para comprometer sistemas aparentemente seguros. La modificación directa de los archivos JavaScript que manipulan las transacciones revela un vector de ataque que puede pasar inadvertido sin controles adecuados. Para las organizaciones y plataformas relacionadas con criptomonedas, el incidente es una llamada de atención sobre la necesidad de visibilidad completa y coordinación entre la seguridad de endpoints y la infraestructura en la nube.
La detección temprana de anomalías combinada con políticas estrictas puede marcar la diferencia entre mitigar un ataque y sufrir pérdidas millonarias. En conclusión, la recreación del ataque a ByBit por parte de Elastic permite comprender la sofisticación y persistencia de actores estatales en el ciberespacio, especialmente en el ámbito de los activos digitales. Solamente adoptando una postura proactiva que integre formación, tecnologías defensivas adaptadas, monitoreo continuo y protección integral de la cadena de suministro tecnológica será posible reforzar la resiliencia frente a amenazas de alto nivel como las perpetradas por TraderTraitor. La comunidad criptográfica debe aprender de este incidente para fortalecer sus modelos de seguridad, invertir en tecnologías avanzadas de detección y respuesta, y mejorar la cooperación sectorial que permita enfrentar las crecientes amenazas de un panorama digital cada vez más complejo y hostil.
