Informe 2025 sobre la criptodelincuencia: Vea las tendencias clave que dieron forma al mercado ilícito de criptomonedas durante el año pasado. Leer el informe

Soluciones
Aprenda
Empresa
SOLICITAR DEMO
en
Buscar en
Buscar en
Perspectivas
4 de marzo de 2025

Bybit Hack Update: Corea del Norte pasa a la siguiente fase del blanqueo

TRM InsightsPerspectivas
Bybit Hack Update: Corea del Norte pasa a la siguiente fase del blanqueo

El 21 de febrero de 2025, Bybit, una de las mayores bolsas de criptomonedas del mundo, sufrió un ciberataque sin precedentes a manos de Corea del Norte, que provocó el robo de aproximadamente 1.500 millones de dólares en tokens Ethereum. Este suceso se ha convertido en el mayor ataque del que se tiene constancia, superando a anteriores ataques de gran repercusión y suscitando gran preocupación por la creciente sofisticación de los ciberdelincuentes.

Más allá de la magnitud del ataque a Bybit, la velocidad a la que se blanquean los fondos robados es especialmente alarmante. En 48 horas, al menos 160 millones de dólares habían sido canalizados a través de canales ilícitos, y TRM estima que el total superó los 200 millones de dólares el 23 de febrero. El 26 de febrero se habían movido más de 400 millones de dólares, lo que indica un nivel de eficacia operativa sin precedentes.

Salida de fondos de ByBit tras el pirateo inicial, como muestra el TRM Graph Visualizer.

A última hora del día 3 de marzo de 2025, los norcoreanos terminaron la fase inicial del blanqueo de las ganancias del hackeo de Bybit. Todo el ETH robado se ha trasladado a nuevas direcciones, y la gran mayoría se ha transferido a Bitcoin, principalmente a través de servicios que utilizan THORchain. TRM está rastreando las direcciones controladas por los blanqueadores de Bybit. Esta rápida y metódica operación indica un nivel de eficiencia operativa sin precedentes, lo que plantea serios retos a los investigadores.

El proceso de blanqueo se ha basado en gran medida en herramientas de financiación descentralizadaDeFi), en particular bolsas descentralizadas (DEX) y puentes entre cadenas, para ocultar el origen de los activos robados. Los atacantes movieron la mayor parte del Ethereum robado a través de THORswap, un protocolo descentralizado de liquidez entre cadenas que permite el intercambio directo de activos sin necesidad de intermediarios. Entre el 24 de febrero y el 2 de marzo, THORChain experimentó un aumento de actividad sin precedentes.

Este rápido blanqueo sugiere que Corea del Norte ha ampliado su infraestructura de blanqueo de capitales o que las redes financieras clandestinas, especialmente en China, han aumentado su capacidad para absorber y procesar fondos ilícitos. La escala y la velocidad de esta operación plantean nuevos retos a los investigadores, ya que los mecanismos tradicionales de lucha contra el blanqueo de capitales tienen dificultades para seguir el ritmo del elevado volumen de transacciones ilícitas.

Históricamente, los ciberdelincuentes norcoreanos han confiado en los mezcladores de criptomonedas como segunda fase de su proceso de blanqueo. Ahora hemos entrado en esa segunda fase y hemos visto un primer tramo de BTC de Bybit depositado en mezcladores como Wasabi y CryptoMixer. Si estos mezcladores pueden seguir absorbiendo la cantidad de dinero en juego es una cuestión abierta. Los volúmenes típicos de estos servicios oscilan entre unos pocos millones y quizá 10 millones de dólares en un día. Los blanqueadores de Bybit podrían depositar fácilmente esa cantidad en horas. 

Pero incluso a escala, estos mezcladores pueden crear dudas en el proceso de rastreo. Hasta ahora, cualquiera con paciencia y voluntad podía seguir el flujo de fondos de Bybit. Los mezcladores, sin embargo, son obstáculos importantes para la mayoría de los investigadores. Mientras que los investigadores con acceso a herramientas como TRM son capaces de rastrear a través de muchos mezcladores con un alto grado de confianza, no ocurre lo mismo con los investigadores que utilizan las herramientas en línea disponibles. TRM espera que aumente el número de pistas falsas positivas, ya que los investigadores rastrean erróneamente retiradas no relacionadas procedentes de mezcladores. 

A pesar del rápido movimiento de activos, una gran parte del bitcoin convertido permanece en gran parte inmóvil, lo que sugiere que los piratas informáticos se están preparando para una liquidación a gran escala o una mayor ofuscación a través de redes extrabursátiles (OTC). 

Este cambio en las tácticas de blanqueo refleja la dependencia de Corea del Norte de los puentes entre cadenas y las estrategias de transacciones de gran volumen, como se detalla en un informe de TRM sobre la actividad cibernética de la RPDC. En atracos anteriores, los hackers norcoreanos utilizaron plataformas como Ren Bridge y Avalanche Bridge, a menudo convirtiendo los fondos en bitcoin antes de emplear mezcladores como Sinbad, YoMix, Wasabi Wallet y CryptoMixer. Aunque los servicios utilizados cambian con el tiempo y las medidas de represión, la estrategia básica sigue siendo la misma: puentear, mezclar y volver a puentear... una y otra vez. 

Según el experto en Corea del Norte de TRM, y ex experto en la materia FBI , Nick Carlsen, "El exploit Bybit indica que el régimen está intensificando su técnica de "inundar la zona": abrumar a los equipos de cumplimiento, los analistas de blockchain y los organismos encargados de hacer cumplir la ley con transacciones rápidas y de alta frecuencia a través de múltiples plataformas, complicando así los esfuerzos de rastreo."

Esto es un texto dentro de un bloque div.
Suscríbase y manténgase al día de nuestras novedades
flecha derecha
27 de febrero de 2025

El pirateo de Bybit: Tras el mayor exploit de Corea del Norte

flecha derecha
12 de junio de 2023

TRM Talks: La amenaza de Corea del Norte

flecha derecha
21 de febrero de 2025

TRM vincula a Corea del Norte con un robo récord de 1.500 millones de dólares

Acceda a nuestra cobertura de TRON, Solana y otras 23 blockchains

Rellene el formulario para hablar con nuestro equipo sobre los servicios profesionales de investigación.

Servicios de interés
Seleccione
Transaction Monitoring/Wallet Screening
Servicios de formación
Servicios de formación
 
Al hacer clic en el botón siguiente, acepta la política de privacidad deTRM Labs .
Muchas gracias. Hemos recibido su envío.
¡Uy! Algo ha ido mal al enviar el formulario.
No se han encontrado artículos.
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
Informe 2025 sobre la criptodelincuencia: Explore cómo evolucionó el panorama de la criptodelincuencia en el último año
DIG IN NOW →
Cables de fibra óptica azul brillante sobre fondo azul oscuro, con destellos de chispas blancas intercaladas.
INFORME
A medida que la tecnología de IA se vuelve más sofisticada, también lo hacen las formas en que los delincuentes la utilizan. Vea lo que hace TRM para combatir la delincuencia basada en IA.
LUCHA AI CON AI →
Ilustración de delito de criptomoneda sobre fondo azul oscuro con símbolos de blockchain en azul brillante y blanco (incluidos Bitcoin y TRON), gráficos financieros y un icono de hacker.
INFORME
El panorama de la criptodelincuencia experimentó cambios significativos en 2024, incluyendo descensos en los volúmenes ilícitos. Profundiza en los datos aquí.
VISTA PREVIA DEL INFORME SOBRE DELITOS CRIPTOGRÁFICOS →
Tablero de corcho con fotografías de Heather "Razzlekhan" Morgan e Ilya Lichtenstein, con sus nombres escritos a mano debajo de sus fotos y chinchetas en el tablero conectadas por una cuerda roja.
DOCUMENTAL
Transmite “El atraco más grande de la historia” y mira detrás de escena al equipo de TRM
ÉCHALE UN VISTAZO →
Un círculo bidimensional azul claro (que representa una moneda estable) flotando sobre líneas curvas de color azul oscuro y blanco (que representan ondas), con finas líneas punteadas de color azul y blanco en lo alto para representar el viento.
INFORME
Explore las tendencias macro y los desarrollos jurisdiccionales que dieron forma al panorama de políticas criptográficas globales en 2024
LEA EL INFORME →
Ilustración sobre un fondo azul oscuro que muestra un insecto y un signo de exclamación (que representa una actividad ilícita), un globo terráqueo con puntas de alfiler, una moneda y un gráfico de barras.
INFORME
Vea los países con las tasas más altas de adopción de criptomonedas y las tasas más altas de exposición a actividades ilícitas
LEA EL INFORME AHORA →
Un rectángulo azul con formas geométricas en el fondo y puntos conectados por líneas finas en primer plano, que representan conexiones en la cadena de bloques.
LIBRO BLANCO
Explore cuatro formas en que la TRM mejora el cumplimiento en la era moderna de aplicación de sanciones
Descargar el libro blanco →
Ilustración de un gráfico de pig butchering con varios logotipos de criptomonedas en cada sección, con una insignia de sheriff azul brillante en la parte superior, que simboliza el papel de las fuerzas del orden en la lucha contra el fraude.
CASO EJEMPLO
Vea cómo la ayudante del fiscal Erin West y el grupo de trabajo REACT están luchando contra la delincuencia organizada. pig butchering
VER EL VÍDEO →
Ilustración de un ojo, una calavera con huesos cruzados y un gráfico circular sobre fondo azul claro, que simboliza los peligros de las criptoestafas y el fraude financiero.
INFORME
Explora las tendencias clave que dieron forma a la criptoeconomía ilícita en 2023
OBTENER EL INFORME →
Primer plano del edificio del Capitolio de los Estados Unidos con nieve cayendo
BLOG
Sepa por qué la criptomoneda se ha convertido en un tema central de las elecciones estadounidenses de 2024
LEER EL POSTE
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Profundice en el ecosistema de criptomonedas ilícitas de habla rusa
LEER EL INFORME COMPLETO
Contorno de cerdo con el escudo de las fuerzas del orden superpuesto
Caso práctico
Más información sobre la actuación del Grupo Operativo REACT pig butchering
Leer el Caso práctico
Ilustración de una muñeca rusa de juguete que contiene un ataque ransomware dentro de la más pequeña
INFORME
Explore las tendencias recientes de ransomware en el ecosistema criptográfico de habla rusa, incluido el papel de los grupos ransomware en la ciberdelincuencia en todo el mundo.
OBTENGA EL INFORME
Persona escribiendo en un teclado de ordenador portátil con superposición azul oscuro filtrado
ENTRADA EN EL BLOG
Conozca la oleada de ataques a ransomware del verano de 2024 y la proliferación de RaaS en todo el mundo.
LEER EL POSTE
INFORME
Conozca el papel de las criptomonedas en el mercado internacional de precursores de drogas sintéticas
OBTENGA EL INFORME