Actualización sobre el hackeo de Bybit: casi 700 millones de dólares en criptomonedas robadas han desaparecido.

Un importante robo de criptomonedas que involucra 1.400 millones de dólares robados de la plataforma Bybit está generando nuevas alarmas en la industria de los activos digitales.

Según datos recopilados por la plataforma de intercambio y por investigadores de seguridad, alrededor de 644 millones de dólares en fondos robados —casi la mitad del total— han desaparecido de los sistemas de monitorización de blockchain.

Estos fondos han sido canalizados sistemáticamente a través de servicios de mezclado de criptomonedas, que están diseñados para ocultar el origen y el destino de las transacciones.

Este desarrollo arroja nueva luz sobre cómo evolucionan los métodos de lavado de dinero, particularmente con el uso continuado de servicios que previamente habían sido sancionados o que se afirmaba que habían desaparecido.

La investigación también apunta a vínculos con el grupo de hackers norcoreano TraderTraitor, que explotó una vulnerabilidad en el ordenador portátil de un desarrollador a principios de febrero.

La vulnerabilidad fue aprovechada por un malware que se hacía pasar por un simulador de inversión en bolsa, lo que llevó a la divulgación de credenciales confidenciales.

El lavado de dinero está dominado por Wasabi Wallet y eXch.

La investigación de Bybit revela que 247,5 millones de dólares (unos 966 BTC) fueron canalizados a través de Wasabi Wallet, un monedero de Bitcoin enfocado en la privacidad que utiliza CoinJoin para mezclar transacciones.

Otros 94,1 millones de dólares fueron transferidos a través de eXch, un servicio de lavado de dinero menos conocido que había anunciado públicamente su cierre en abril de 2025.

Sin embargo, expertos forenses han confirmado que eXch permanece activo a través de APIs de back-end, lo que permite que el lavado de dinero continúe sin ser detectado por la mayoría de los monitores estándar.

También se utilizaron servicios de mezclado de criptomonedas como Tornado Cash y Railgun, aunque en menor medida.

TRM Labs confirmó que Tornado Cash se utilizó para lavar 2,5 millones de dólares en Ethereum, mientras que Railgun facilitó transacciones de Ethereum por valor de 1,7 millones de dólares.

Estos servicios operan reuniendo los fondos de múltiples usuarios y redistribuyéndolos de una manera que hace casi imposible su rastreo.

Los analistas de TRM Labs describieron la actividad de lavado de dinero como "extremadamente difícil" de rastrear debido a la forma en que se agrupan y redistribuyen las transacciones.

La actividad de eXch genera preocupación tras anunciar su cierre.

eXch, en particular, ha llamado mucho la atención debido a su anuncio de cierre en abril.

Investigadores de seguridad en criptomonedas, incluidos analistas de TRM Labs, han confirmado que el sistema de soporte del servicio sigue funcionando.

La persistencia de la infraestructura de eXch, incluso después del anuncio público de su cierre, ha añadido una capa de complejidad a las investigaciones en curso.

Un gran desafío para los investigadores es la opacidad total que crean estos mezcladores. Las transacciones se vuelven casi imposibles de rastrear una vez que ingresan a estos servicios.

TRM Labs señaló que, debido a que todos los fondos entrantes y salientes se mezclan, no es posible identificar a los usuarios o direcciones individuales que están detrás de las transferencias.

Esto limita la eficacia de las herramientas de transparencia de la cadena de bloques, incluso cuando se aplica el análisis forense.

Se culpa al grupo TraderTraitor, vinculado a Corea del Norte, por la violación de seguridad.

Lo que complica aún más el caso es la presunta participación de actores patrocinados por el Estado.

Safe, un proveedor de interfaces de wallet de criptomonedas , publicó detalles en marzo de 2025 indicando que el grupo de hackers norcoreano TraderTraitor estaba detrás de la violación de seguridad original.

Los piratas informáticos obtuvieron acceso a los fondos de Bybit después de comprometer el MacBook de un desarrollador en Safe.

El ataque se llevó a cabo mediante la incorporación de malware en un archivo Docker disfrazado como un simulador de inversión en bolsa.

Una vez ejecutado, el malware se conectó a un dominio sospechoso e instaló scripts maliciosos que extrajeron tokens de sesión de AWS.

Estos tokens fueron utilizados posteriormente para eludir la autenticación multifactorial y acceder a los sistemas de Bybit.

La violación de seguridad ocurrió a principios de febrero y se encuentra entre los mayores robos de criptomonedas de 2025.

Ha provocado un mayor escrutinio por parte de los reguladores y ha suscitado debates sobre las vulnerabilidades de la infraestructura de Web3, especialmente en los puntos finales de los desarrolladores y las credenciales de acceso a la nube.