Veredicto: sí, con cuatro riesgos que conviene entender antes de depositar. En 2026, Bybit tiene un sólido historial operativo desde el exploit del hot wallet de febrero de 2025, el mayor evento de seguridad a un único exchange registrado. La plataforma absorbió una pérdida de 1.500 millones de dólares sin impacto en los fondos de los usuarios y emergió con una postura de cumplimiento endurecida y un blindaje operativo reforzado. Es un exchange centralizado y custodial, así que arrastra la categoría estándar de riesgo CEX por encima de su historia específica. Esta es una revisión enfocada en seguridad, no un desglose de funciones. Para la puntuación completa lee la reseña de Bybit; para el detalle de KYC consulta la sección de KYC de la reseña de Bybit.
No es asesoramiento financiero. El trading cripto es de alto riesgo. La custodia en cualquier exchange centralizado es un riesgo no nulo, sin importar el historial operativo. Los productos derivados conllevan riesgo de apalancamiento que puede arrasar una cuenta en minutos. Verifica la disponibilidad por país antes de depositar. Lee el aviso de riesgo antes de escalar capital.
La respuesta corta
En 2026, Bybit es operativamente más seguro que la mayoría de los exchanges centralizados de cripto en tres dimensiones concretas (historial de respuesta a incidentes, cadencia de prueba de reservas, recuperación demostrada del mayor exploit a un único exchange registrado sin pérdida para los usuarios), y operativamente más arriesgado en dos (menos cobertura regulatoria que Binance, Kraken o Coinbase; el exploit de febrero de 2025 es el evento de seguridad importante más reciente en la memoria de los grandes CEX). Si usas Bybit como plataforma de trading y mueves tus tenencias materiales a auto-custodia, la plataforma queda bien dentro de la banda normal de riesgo CEX. Si la usas como almacenamiento de largo plazo o esperas claridad regulatoria al nivel de las plataformas con licencia estadounidense, te vas a sentir incómodo.
Cuatro riesgos que conviene conocer, ordenados por la frecuencia con la que realmente afectan a los usuarios:
- Liquidación por apalancamiento en futuros. La causa dominante de pérdida de fondos de usuarios en Bybit, por amplio margen.
- Fallos de seguridad del lado del usuario. Credenciales pescadas, SIM swap, 2FA débil.
- Cambio de acceso regulatorio. País añadido a la lista de restringidos, fricción al migrar la cuenta.
- Repetición de un exploit de hot wallet. Posible, pero blindado arquitectónicamente tras febrero de 2025.
Lo que no está en esta lista: robo a nivel de plataforma de saldos, quiebra del operador (categoría FTX), congelamiento de retiros. Nada de eso ha ocurrido, y la arquitectura más la respuesta reciente al incidente hacen que los dos primeros sean estructuralmente difíciles.
El hackeo de febrero de 2025
Este es el evento operativo decisivo en la historia reciente de Bybit. El 21 de febrero de 2025, los atacantes drenaron aproximadamente 1.500 millones de dólares de una de las hot wallets de ETH de Bybit, en lo que se reportó ampliamente como el mayor exploit a un único exchange registrado. La atribución pública de firmas de análisis on-chain (Elliptic, TRM Labs, Chainalysis) apuntó a actividad de actores de amenazas norcoreanos, específicamente operaciones asociadas al Lazarus Group.
El post-mortem identificó el vector de ataque como una sofisticada vulneración de infraestructura, en lugar de un bug de smart contract o un fallo arquitectónico de fondo. Los atacantes comprometieron una capa operativa que les daba capacidad de firma sobre una hot wallet autorizada para transacciones salientes de gran tamaño.
Lo que vino después es la parte que importa de cara al futuro. En 24 horas, Bybit reconoció públicamente el incidente, mantuvo la plataforma funcionando con disponibilidad continua de retiros y anunció que los saldos de los usuarios serían restituidos independientemente de la pérdida. En 7 días, la plataforma obtuvo financiación puente a través de una combinación de reservas de seguro, liquidez de tesorería y préstamos directos de socios externos, restaurando el saldo del wallet a una posición totalmente colateralizada frente a los pasivos con usuarios. Ningún usuario perdió fondos. La plataforma no suspendió los retiros en ningún momento durante la ventana de respuesta al incidente.
Cambios operativos posteriores al incidente desplegados durante 2025-2026:
- Límites de hot wallet endurecidos de forma material. Una menor fracción de las reservas totales se mantiene en cualquier hot wallet individual.
- Requisitos de firma múltiple ampliados en los flujos operativos de retiro.
- Auditorías de seguridad independientes encargadas y publicadas.
- Endurecimiento del KYC en toda la plataforma (cubierto en la sección de KYC más abajo).
- Mayor cadencia de prueba de reservas, con una atestación de árbol de Merkle publicada con más frecuencia que en el programa anterior.
Evaluación de riesgo a futuro: Bybit demostró una capacidad de respuesta a incidentes limpia bajo uno de los mayores eventos de estrés en la historia de la industria. Aplica la misma forma de riesgo de CEX custodio que en cualquier otro exchange (Binance, OKX, KuCoin), pero el historial operativo en el evento más significativo está ahora mejor documentado que en la mayoría. Para tenencias de largo plazo aplica la regla estándar: mantén en la plataforma solo lo que esté asignado activamente a posiciones abiertas o productos de rendimiento de corto plazo, y retira el resto a auto-custodia.
Riesgo de custodia y de contraparte
Bybit es un exchange centralizado y custodial. Los fondos depositados en una dirección de Bybit quedan en manos de su infraestructura de hot y cold wallets bajo control de la plataforma hasta que retiras. Este es el mismo modelo que usan Binance, Coinbase, Kraken, KuCoin y cualquier otro CEX. La forma del riesgo:
- Vulneración de hot wallet. Mitigada con asignaciones menores a hot wallets, mayoría de fondos en frío y firma múltiple. Realista, pero en Bybit históricamente recuperada sin pérdida para los usuarios (el evento de febrero de 2025).
- Vulneración de cold wallet. Evento extraordinario. No ha ocurrido en Bybit ni en sus pares a escala. La defensa descansa en la seguridad física y operativa.
- Quiebra del operador. La categoría FTX. No ha ocurrido en Bybit. La plataforma no mezcló fondos de usuarios al nivel en que lo hizo FTX. La prueba de reservas es la verificación pública del muro entre los saldos de usuarios y el balance corporativo.
- Suspensión de retiros bajo estrés. No ha ocurrido en Bybit, ni siquiera durante el incidente de febrero de 2025. Los retiros siguieron funcionando a lo largo tanto del impacto inmediato como de la ventana de recuperación.
La probabilidad realista a futuro de un fallo de custodia a nivel de plataforma es baja, pero no nula. Esto mismo aplica a cualquier CEX. La mitigación estándar aplica: no estaciones tenencias tipo posición en la plataforma; úsala como venue de trading y como superficie de rendimiento activa, no como almacenamiento en frío.
Prueba de reservas y el stack de confianza
Bybit publica prueba de reservas basada en árbol de Merkle con cadencia regular (mensual tras febrero de 2025, anteriormente trimestral), cubriendo los saldos principales de sus billeteras frente a los pasivos totales de usuarios. La metodología sigue la misma forma que adoptaron la mayoría de los grandes exchanges centralizados en el ciclo de reseteo de confianza de 2022-2023 tras FTX: foto de saldos de usuarios, cálculo de la raíz de Merkle y publicación de un árbol contra el cual cada usuario puede verificar de forma independiente su propio saldo.
Lo que la prueba de reservas verifica:
- Que el exchange tenía al menos X de activos en el momento de la foto
- Que los pasivos totales de usuarios en la plataforma suman como máximo ese X
Lo que la prueba de reservas no verifica:
- Pasivos fuera de cadena (préstamos, deudas, compromisos futuros)
- Cargas sobre el contenido de las billeteras (pignoraciones de colateral, bloqueos)
- Continuidad entre fotos (un instante solvente puntual no demuestra solvencia continua)
- Origen de las reservas (podrían estar prestadas para la foto)
Toma las atestaciones como una señal de confianza significativa pero parcial. La implementación concreta de Bybit fue auditada de forma independiente por una firma externa tras febrero de 2025, lo que mitiga parcialmente la ambigüedad de los pasivos fuera de cadena que afecta a la mayoría de las implementaciones de los CEX pares.
Riesgo regulatorio
Bybit opera desde Dubái con filiales regionales en múltiples jurisdicciones. La plataforma no tiene licencia en EE. UU. y no atiende a usuarios estadounidenses. La forma regulatoria:
- Estados Unidos. No atendido. El registro está geobloqueado para IPs estadounidenses. Las cuentas estadounidenses existentes pasaron por un offboarding forzado hace años.
- Reino Unido. Acceso retail a derivados restringido bajo las reglas de la FCA. Trading spot disponible con KYC.
- Unión Europea. Disponible con variaciones país por país bajo MiCA. Varias funciones de derivados restringidas a nivel retail.
- Canadá. Restringido en Ontario, disponible en algunas provincias con restricciones.
- Rusia. Disponible; uno de los pocos grandes CEX todavía accesibles a usuarios rusos en 2026 (cubierto en la sección sobre Rusia más abajo).
- Hong Kong, Japón, Taiwán, Tailandia. Grados variables de restricción; verifica la disponibilidad actual antes de depositar.
Riesgo regulatorio a futuro: la huella geográfica probablemente seguirá estrechándose conforme MiCA y regímenes similares se extiendan. Un usuario cuyo país esté hoy en el límite podría ver cómo el acceso se restringe sin previo aviso. La postura de cumplimiento se ha endurecido de forma material entre 2024 y 2026, especialmente después de que el exploit de febrero de 2025 acelerara la inversión en este ámbito.
Postura de KYC en 2026
El exploit de febrero de 2025 aceleró el endurecimiento del KYC en toda la plataforma. A partir de 2026, Bybit requiere verificación para esencialmente cada función de cuenta más allá de navegar.
| Nivel | Qué requiere | Qué desbloquea |
|---|---|---|
| No verificado | Solo email o wallet | Navegar mercados, ver tablas de líderes, sin depósitos |
| Verificación Lite | Nombre, país, fecha de nacimiento, carga de ID gubernamental | Trading spot, depósitos, límite de retiro bajo |
| Verificación Standard | Selfie con prueba de vida, comprobante de domicilio | Spot y futuros completos, copy trading, límite de retiro más alto |
| Verificación Pro | Origen de fondos, diligencia debida reforzada | Mesa OTC, funciones institucionales, límites de retiro más altos |
El nivel no verificado es efectivamente de solo lectura para cuentas nuevas en 2026. La etapa del trading relevante solo con email en Bybit terminó en 2025. Para fines prácticos, asume que la verificación Standard es necesaria para cualquier flujo de trading retail.
Para usuarios en Rusia
Contexto para usuarios rusoparlantes en concreto. Bybit en 2026 sigue accesible para usuarios rusos desde una IP real en la mayoría de los casos. A diferencia de Binance, que salió de Rusia mediante la venta de CommEX en 2023, y de KuCoin, que muestra un banner de soft-block en algunas IPs rusas, Bybit acepta tradicionalmente a usuarios rusos con mayor facilidad. Esto no es una garantía para mañana, pero al momento de publicación Bybit es uno de los pocos grandes CEX donde un trader ruso puede completar el KYC y operar sin fricción significativa.
Recomendaciones prácticas para una cuenta nueva desde Rusia:
- No uses VPN. Bybit detecta VPNs comerciales y las cuentas detectadas pasan a modo solo-retiro.
- Completa la verificación Standard de inmediato. Tras 2025, la plataforma bloquea la mayoría de funciones hasta la verificación completa.
- Deposita USDT vía Tron. Ruta más barata, comisiones mínimas.
- Verifica el acceso a futuros. A veces algunos productos derivados están restringidos para jurisdicciones individuales incluso después del KYC.
- No estaciones cantidades grandes. El riesgo de custodia es el mismo que en cualquier CEX, más el geo-riesgo de que la política regulatoria para Rusia se endurezca sin previo aviso.
Para más contexto sobre la elección de exchange cripto para usuarios rusoparlantes, consulta la sección sobre Rusia en KuCoin vs Binance.
Fallos de seguridad del lado del usuario
Esta es, de manera realista, la mayor fuente de pérdida de fondos en todos los CEX, no algo específico de Bybit. El patrón se repite:
- Credenciales pescadas. Dominios falsos de login de Bybit, chats de soporte falsos en Telegram. El usuario inicia sesión, el atacante captura la sesión y luego ejecuta retiros.
- SIM swap en el teléfono de recuperación. El atacante toma el número móvil, intercepta el 2FA por SMS y resetea la cuenta.
- 2FA débil. El 2FA por SMS es la capa más débil. El 2FA por aplicación autenticadora es mejor. El 2FA por hardware-key es la única opción inmune al phishing.
- Contraseñas reutilizadas. Credenciales filtradas en una brecha previa que el atacante prueba en Bybit hasta entrar.
- Recuperación de email comprometida. El email vinculado a la cuenta es la credencial maestra. Perder el control del email significa perder la cuenta.
Ninguno de estos es un fallo de Bybit; son fallos del lado del usuario que afectan a cualquier exchange. Las mitigaciones son las mismas:
- Usa un email dedicado para cuentas de cripto, blindado con 2FA por hardware-key
- Usa 2FA por hardware-key dentro de Bybit (no SMS)
- Nunca reutilices contraseñas entre cuentas de cripto
- Confirma la URL antes de introducir credenciales; guarda el login real de Bybit en favoritos
- Trata los DM no solicitados de “Bybit Support” en Telegram o Discord como estafas al 100%
Liquidación por apalancamiento: el vector de riesgo dominante
Esto merece su propia sección porque arruina a más usuarios de Bybit que todos los demás riesgos combinados. Los productos más fuertes de Bybit son los futuros perpetuos con apalancamiento de hasta 200x en majors y las opciones sobre BTC y ETH. El techo de apalancamiento es una funcionalidad para usuarios avanzados que ejecutan estrategias específicas; es un mecanismo de destrucción para usuarios sin disciplina de tamaño de posición.
Con 100x de apalancamiento en un perpetuo, un movimiento adverso de precio del 1 por ciento liquida la posición. Los regímenes de volatilidad que se mueven entre el 2 y el 5 por ciento en pocos minutos son comunes en cripto. El resultado realista de “voy a usar poco apalancamiento” para usuarios inexpertos suele ser pasar de 5x-10x a 50x-100x en semanas, conforme las ganancias iniciales construyen confianza. Después, un solo movimiento adverso arrasa la cuenta.
Esto no es un riesgo específico de Bybit. Es un riesgo de categoría para cualquier plataforma que ofrezca derivados con apalancamiento alto. Bybit está bien diseñado, el motor de liquidación funciona, la experiencia de usuario es limpia. El peligro es que la plataforma hace que el trading con apalancamiento alto sea sin fricción, y el trading sin fricción con apalancamiento alto es un mecanismo de destrucción de patrimonio para la mayoría de usuarios retail.
Mitigación: si operas futuros, limita tu apalancamiento a 5x en majors y 3x en todo lo demás. Usa margen aislado para que una sola posición no pueda arrastrar la cuenta completa. Coloca stop-losses duros antes de entrar. Trata cualquier sesión en la que aumentes el tamaño de la posición después de una ganancia como el momento de máximo peligro.
Cómo se compara Bybit en seguridad
| Dimensión de riesgo | Bybit | Binance | Coinbase |
|---|---|---|---|
| Quiebra del operador / colapso de custodia | Ninguna hasta hoy | Ninguna hasta hoy | Ninguna hasta hoy, con salvaguardas de empresa cotizada en EE. UU. |
| Historial de incidentes en hot wallet | Feb 2025 (1.500M, recuperado, sin pérdida) | 2019 (40M, cubierto por SAFU) | Ninguno |
| Estatus regulatorio | Operado desde Dubái, sin licencia en EE. UU. | Acuerdo DOJ nov 2023, cobertura amplia | Licenciada en EE. UU., empresa cotizada |
| Prueba de reservas | Árbol de Merkle mensual, con componente de auditoría externa | Árbol de Merkle publicado | Informes trimestrales de auditor |
| Fondo de seguro | Sí, ampliado tras feb 2025 | SAFU ~1B | Sin fondo explícito, respaldado por balance |
| Historial de suspensión de retiros | Ninguno | Ninguno | Ninguno |
| Apalancamiento máximo ofrecido | 200x en majors | 125x en majors | Solo spot, sin apalancamiento |
Las tres plataformas cargan con riesgo real. Las formas del riesgo difieren. Coinbase cambia la mayor claridad regulatoria por menor amplitud de productos y comisiones más altas. Binance cambia la superficie de productos más amplia por el evento regulatorio más grande del registro reciente. Bybit cambia la superficie de derivados más profunda (y el techo de apalancamiento más alto) por el mayor exploit a un único exchange del registro reciente (recuperado de forma limpia).
Qué mata a los usuarios de Bybit (y qué no)
Lo que realmente vemos hacer perder dinero a la gente en Bybit:
- Posiciones de futuros con apalancamiento alto en ventanas volátiles
- Posición única y concentrada sin stop-loss
- Phishing a través de enlaces falsos en Discord de Bybit y DM en X
- Compromiso del email asociado a la cuenta
- Bloqueo de fondos en productos estructurados sin leer las curvas de pago
- Sorpresas de restricción por país que bloquean el frontend oficial antes de poder retirar
Lo que no mata a los usuarios de Bybit, pese al miedo que pinta el marketing:
- Robo a nivel de plataforma. Ninguno desde el incidente de febrero de 2025, y ese terminó en recuperación total para los usuarios.
- Quiebra del operador. No ha ocurrido.
- Suspensión de retiros a nivel de plataforma. No figura en el registro, incluyendo durante el incidente de febrero de 2025.
- Una repetición del hackeo de febrero de 2025 con la misma forma. Los cambios de arquitectura apuntaron específicamente a este vector.
Hábitos que previenen la mayoría de lo anterior
- Trata el email asociado a la cuenta como una credencial maestra. Dirección dedicada, 2FA por hardware-key, gestor de contraseñas.
- Usa 2FA por hardware-key dentro de Bybit. No SMS.
- Limita el apalancamiento a 5x en majors y 3x en todo lo demás. Usa margen aislado.
- Coloca stop-losses duros antes de entrar a cualquier posición apalancada. Sin excepciones.
- Retira a auto-custodia entre sesiones de trading si la asignación es material. El USDT en tu wallet es más seguro que el USDT en un CEX al que entras con poca frecuencia.
- Lee la curva de pago antes de asignar a cualquier producto estructurado. “Rendimiento mejorado” suele significar “estructura de pago de opción disfrazada de ahorro”.
- No accedas a Bybit desde un país bloqueado vía VPN. La detección funciona. Las cuentas detectadas pasan a modo solo-retiro o quedan congeladas.
Veredicto
En 2026, Bybit es más seguro que un exchange centralizado típico de cripto de gama media en las dimensiones que históricamente arruinan los fondos de los usuarios (sin quiebra del operador, sin robo de saldos custodiados, sin suspensión de retiros), y menos indulgente en aquellas en las que el responsable de la seguridad es el propio usuario (disciplina de apalancamiento, higiene de claves y email, comprensión de los productos derivados). Usado con disciplina, es un venue operativo creíble para trading activo. Usado con descuido, no ofrece más red de protección que cualquier otro CEX.
El exploit de febrero de 2025 fue el mayor evento de seguridad a un único exchange registrado. La respuesta demostró una capacidad de respuesta a incidentes a un nivel que pocos pares pueden reclamar. La recuperación fue completa, los fondos de los usuarios no se perdieron, los retiros nunca se suspendieron. El perfil de riesgo a futuro es comparable al de Binance y superior al de exchanges cripto-nativos más pequeños, con la dimensión regulatoria como la incertidumbre dominante restante.
Si quieres una sola regla de decisión: trata la plataforma como un venue de trading, nunca como un venue de custodia. Deja en la plataforma solo lo que esté asignado activamente a posiciones abiertas o productos de rendimiento de corto plazo. Retira el resto a auto-custodia. Limita el apalancamiento a 5x. Usa 2FA por hardware-key. La misma regla aplica a Binance, OKX, KuCoin y cualquier otro CEX; no es una advertencia específica de Bybit, pero el exploit de febrero de 2025 la hace especialmente relevante.
Abre Bybit si la historia de seguridad encaja con tu caso de uso: Regístrate en Bybit. Consulta la divulgación de afiliados para el detalle completo.
Lectura recomendada
- Reseña de Bybit. Desglose completo de funciones y puntuación.
- Bybit vs Binance. Frente a frente en seguridad, comisiones y productos.
- BingX vs Bybit. Comparativa adyacente con contexto de seguridad.
- ¿Es seguro KuCoin?. Análisis de riesgo hermano sobre otro exchange.
- Metodología. Cómo evaluamos las plataformas.
- Aviso de riesgo.
Preguntas frecuentes
¿Bybit ha sufrido un hackeo?
Sí, una vez a gran escala y recientemente. El 21 de febrero de 2025 los atacantes drenaron aproximadamente 1.500 millones de dólares de una de las hot wallets de ETH de Bybit, el mayor exploit a un único exchange registrado. La atribución pública de firmas de análisis on-chain (Elliptic, TRM Labs, Chainalysis) apuntó a actividad de actores de amenazas norcoreanos, específicamente operaciones asociadas al Lazarus Group. Bybit absorbió la pérdida a través de su fondo de seguro, liquidez de tesorería y préstamos directos de socios externos. Ningún usuario perdió fondos. Los retiros se mantuvieron operativos a nivel de plataforma durante todo el incidente. La cobertura total de reservas se restauró en 7 días.
¿Puede Bybit quedarse con mi dinero?
En principio sí, porque Bybit es un exchange centralizado y custodial. Los fondos depositados en Bybit quedan en manos de su infraestructura de hot y cold wallets bajo control de la plataforma hasta que retiras. La plataforma superó dos pruebas de estrés importantes (el exploit de 2025 y la presión regulatoria continua entre 2024 y 2026) sin congelar saldos de usuarios ni suspender retiros a nivel de plataforma. Las tenencias de largo plazo conviene moverlas a auto-custodia mediante una hardware wallet. El riesgo de custodia en cualquier CEX es no nulo, sin importar el historial operativo.
¿Cuál es el mayor riesgo real en Bybit?
Dos cosas, en orden. Primero, la forma de riesgo de custodia que aplica a cualquier exchange centralizado: vulneraciones de hot wallet, suficiencia de reservas operativas, presión regulatoria que genera restricciones geográficas. La respuesta de Bybit al incidente de febrero de 2025 fue de manual, pero la forma del riesgo subyacente permanece. Segundo, el riesgo de apalancamiento en los productos derivados: la liquidación de futuros puede arrasar una cuenta en minutos. Los productos más fuertes de la plataforma (perpetuos con apalancamiento de hasta 200x, opciones) son los que cargan más riesgo del lado del usuario. La quiebra del operador no ha ocurrido, la recuperación del hackeo funcionó y la acción regulatoria no congeló saldos. Lo que arruina a los usuarios es la concentración en una sola posición con alto apalancamiento, no eventos a nivel de Bybit.
¿Es Bybit más seguro que Binance o Coinbase?
Historias distintas, perfil de riesgo a futuro comparable frente a Binance; Coinbase está en otra categoría. Binance es más grande y está más regulada tras el acuerdo con el DOJ. Bybit sufrió el mayor exploit a un único exchange de la historia (feb 2025) pero se recuperó de forma limpia sin pérdida para los usuarios. Coinbase es una empresa cotizada en EE. UU. con estados financieros públicos y un perfil de riesgo distinto (regulatorio y operacional, en lugar de riesgo de venue no escrutado). Para usuarios de EE. UU., la respuesta correcta es Coinbase o Kraken; Bybit no atiende a usuarios estadounidenses en absoluto. Para usuarios fuera de EE. UU., la seguridad operativa pura de Bybit es comparable a la de Binance y superior a la de exchanges más pequeños, y la respuesta al exploit reciente en realidad refuerza, en lugar de debilitar, la confianza en su gestión de incidentes.
¿Bybit está regulado?
De forma parcial y desigual. Bybit opera desde Dubái con filiales regionales en múltiples jurisdicciones. La plataforma no tiene licencia en EE. UU. y no atiende a usuarios estadounidenses. Tras el exploit de febrero de 2025, Bybit aceleró las inversiones en cumplimiento: KYC obligatorio en esencialmente todas las funciones de cuenta, disponibilidad por país más restringida y monitoreo de transacciones ampliado. La plataforma conserva menos claridad regulatoria que Coinbase o Kraken (venues con licencia estadounidense), pero más que varios exchanges cripto-nativos más pequeños. La presión regulatoria es el vector de riesgo dominante de cara al futuro, no un fallo de custodia.
¿Bybit tiene prueba de reservas?
Sí. Bybit publica atestaciones de prueba de reservas basadas en árbol de Merkle con cadencia regular, cubriendo los saldos principales de sus billeteras frente a los pasivos con usuarios. La metodología es la misma que adoptaron la mayoría de los grandes exchanges centralizados en el ciclo de reseteo de confianza de 2022-2023 tras FTX. Después del exploit de febrero de 2025, Bybit aumentó la cadencia de publicación y añadió componentes de auditoría independiente de terceros. La prueba de reservas verifica lo que el exchange tenía en el momento de la foto; no verifica pasivos fuera de cadena ni cargas ocultas. Tómala como una señal de confianza significativa pero parcial.
¿Debería mantener cantidades grandes en Bybit?
No como almacenamiento de largo plazo. Bybit funciona como plataforma de trading y como superficie de productos de rendimiento; ambos usos legítimos implican tener fondos en la plataforma durante el uso activo. Para tenencias tipo posición, retira a auto-custodia (hardware wallet para almacenamiento en frío, wallet de software para DeFi activo). La regla general aplica a cualquier CEX: deja en la plataforma solo lo que esté asignado activamente a posiciones abiertas o productos de rendimiento de corto plazo. El incidente de febrero de 2025, pese a terminar en recuperación total para los usuarios, es un recordatorio de que el riesgo de custodia es real y material.
¿Qué pasó con el hackeo de febrero de 2025 en concreto?
El evento reciente que define la historia de Bybit. Los atacantes drenaron aproximadamente 1.500 millones de dólares de una sola hot wallet de ETH mediante lo que los post-mortem públicos describen como una sofisticada vulneración de infraestructura. La atribución al Lazarus Group viene de múltiples fuentes de análisis on-chain. Respuesta de Bybit: reconocimiento público en horas, retiros siguieron operando, financiación puente en 7 días con fondo de seguro más tesorería más préstamos de socios externos, rebalance total de la wallet hasta una posición totalmente colateralizada frente a los pasivos con usuarios. Ningún usuario perdió fondos. Cambios posteriores al incidente desplegados durante 2025-2026: límites más estrictos de hot wallet, requisitos de firma múltiple ampliados, mayor cadencia de prueba de reservas, endurecimiento obligatorio del KYC en toda la plataforma.