MacBook troyano: el talón de Aquiles de ByBit, que valía 1.500 millones de dólares

La investigación conjunta de Safe{Wallet} y Mandiant sobre el mayor robo de criptomonedas de la historia ha revelado nuevos detalles: el robo de casi $1,5 mil millones en la bolsa ByBit fue llevado a cabo por el grupo norcoreano TraderTraitor. Los hackers aprovecharon una vulnerabilidad en el laptop de uno de los desarrolladores y eludieron los sistemas de protección.

Los hackers comprometieron el MacBook de uno de los desarrolladores de Safe{Wallet}, obteniendo los tokens de sesión de AWS, lo que les permitió eludir la autenticación multifactor y acceder a la infraestructura. El desarrollador tenía altos privilegios necesarios para trabajar con el código de ByBit. Posteriormente, los atacantes eliminaron el malware y borraron el historial de Bash para ocultar las huellas de la intrusión.

La infección ocurrió el 4 de febrero de 2025, cuando se estableció una conexión con el sitio getstockprice.com a través de un proyecto ejecutado en Docker. Aunque el proyecto ya no estaba en el sistema en el momento del análisis, los rastros de archivos en el directorio ~/Downloads/ indican el uso de métodos de ingeniería social.

Los hackers también utilizaron el servicio ExpressVPN para acceder a la cuenta de AWS del desarrollador. Los cibercriminales adaptaron su actividad al horario de trabajo de la víctima, utilizando los tokens de sesión robados.

El grupo TraderTraitor está vinculado a otro grupo norcoreano, APT38 (BlueNoroff, Stardust Chollima), que, a su vez, es parte del sindicato Lazarus.

A pesar de la complejidad del ataque, los contratos inteligentes de Safe no se vieron afectados. Sin embargo, la empresa realizó una auditoría completa del sistema, reforzando significativamente los mecanismos de protección. Entre las medidas adoptadas se incluyen: el reinicio completo de la infraestructura con la rotación de todas las credenciales, el cierre del acceso externo a los servicios, sistemas mejorados de detección de transacciones maliciosas y herramientas adicionales para verificar las operaciones firmadas.

Además, Safe{Wallet} desactivó temporalmente el soporte nativo de carteras hardware, ya que su funcionamiento dependía de una función vulnerable, eth_sign, y de servicios de terceros. Para verificar las transacciones, se ha proporcionado a los usuarios una herramienta especial. También se está trabajando en la posibilidad de usar Safe{Wallet} en la plataforma IPFS, lo que proporcionará una capa adicional de seguridad.

Safe destacó que, para mejorar la seguridad, son necesarios mejores herramientas para detectar y prevenir ataques. Según los especialistas, la seguridad de las operaciones con criptomonedas debe simplificarse mediante la mejora de la experiencia del usuario, lo que ayudará a la audiencia en general a minimizar los riesgos.