Bloomberg — Quando as notícias começaram a se espalhar sobre uma invasão maciça na bolsa de criptomoedas Bybit na última sexta-feira (21), os pesquisadores de segurança cibernética concluíram rapidamente que a era dos roubos gigantescos de ativos digitais havia entrado em uma fase nova e potencialmente ruinosa.
Não se tratava apenas do tamanho da exploração, embora, com cerca de US$ 1,5 bilhão, fosse a maior de todos os tempos por uma ampla margem. Em poucas horas, ficou claro que o ataque - que o Federal Bureau of Investigation atribuiu ao Lazarus Group da Coreia do Norte - era muito mais ambicioso e difícil de evitar do que qualquer outro que o precedeu.
Talvez o mais perturbador tenha sido o fato de os hackers terem conseguido drenar uma carteira de armazenamento de criptografia chamada “fria”, uma peça de hardware usada para manter a chave privada necessária para acessar os fundos. Essas carteiras são mantidas, em sua maior parte, isoladas das redes on-line e, portanto, eram consideradas quase imunes a ataques.
O impacto sobre o setor e as regulamentações nascentes que o regem são de longo alcance, de acordo com entrevistas com mais de uma dúzia de executivos e especialistas em segurança. Evitar os roubos norte-coreanos provavelmente exigirá gastos muito maiores por parte das bolsas de criptomoedas, regulamentações mais rigorosas e maior coordenação entre os governos, disseram eles.
“Essa invasão destrói o mito de que as ‘carteiras frias’ são impenetráveis”, disse Angela Ang, executiva sênior da empresa de inteligência de blockchain TRM Labs. “As bolsas devem repensar a segurança e reforçar suas defesas.”
Leia também: Escândalo cripto de Milei gerou perdas para 86% dos traders, totalizando US$ 251 mi
A Bybit, uma das maiores bolsas de criptomoedas, foi forçada a tomar emprestado de outras plataformas e usar seus próprios fundos de tesouraria para substituir os cerca de 515.000 tokens, principalmente Ether, mas também derivados da moeda, que foram roubados. Seus esforços para restaurar a calma não impediram que os clientes retirassem cerca de US$ 4 bilhões da plataforma nos dois dias seguintes ao ataque, de acordo com a DefiLlama.
“A Bybit restaurou com sucesso 77% de seus ativos sob gestão (AUM) aos níveis anteriores ao incidente”, disse a empresa na quinta-feira.
Ataque internacional
Os governos ocidentais acusaram a Coreia do Norte de fomentar vários grupos de hackers, com o país economicamente isolado supostamente tendo usado o crime cibernético para conseguir dinheiro para financiar programas militares.
O grupo de hackers conhecido como Lazarus Group, um dos mais impressionantes, remonta a 2007 e é controlado pelo braço de operações cibernéticas de uma das principais agências de inteligência do país, o Reconnaissance General Bureau, de acordo com autoridades dos EUA.
Os roubos de criptografia por hackers ligados à Coreia do Norte mais do que dobraram no ano passado para US$ 1,34 bilhão, representando cerca de 60% do total, de acordo com o pesquisador Chainalysis. O hack da Bybit significa que as explorações atribuídas ao regime já ultrapassaram esse valor em 2025.
“Esse ataque mostra que mesmo equipes sérias e diligentes - o que a Bybit certamente é - enfrentam ambientes extremamente exigentes; os predadores são literalmente, e não figurativamente, atores do Estado-nação”, disse Mitchell Amador, executivo-chefe da empresa de segurança de criptografia Immunefi, em um e-mail. “Eles têm tempo, paciência e recursos infinitos, e só precisam vencer uma vez.”
Emboscada
A diretora de Operações da Bybit, Helen Liu, tinha acabado de jantar com seus pais em Dubai, onde a bolsa está sediada, quando o CEO Ben Zhou ligou para informá-la sobre o hack. Ela foi para o escritório e trabalhou a noite toda, em um determinado momento fazendo malabarismos com três chamadas diferentes ao mesmo tempo.
“Dormi um pouco depois de voltar para casa”, disse ela em uma entrevista. “Mas nosso CEO, nossos engenheiros de carteira, a equipe que rastreia o dinheiro, não dormiram por dois ou três dias.”
Leia também: Fundos de cripto renderam 40% em 2024. Mas o bitcoin deu três vezes esse retorno
Os tokens retirados da Bybit foram mantidos em uma cold wallet com várias assinaturas, o que significa que três pessoas com autorizações, incluindo Zhou, precisavam assinar a movimentação de quaisquer fundos. As cold wallets com várias assinaturas são consideradas seguras há muito tempo e são amplamente usadas entre as trocas de criptomoedas, disseram os pesquisadores.
Embora os relatos sobre a forma exata como o ataque se desenrolou variem um pouco, os hackers parecem ter começado a atacar o computador de um funcionário da Safe Wallet, o fornecedor de carteiras de criptografia da Bybit. A empresa não respondeu aos pedidos de comentários.
“O que os hackers fizeram foi uma forma de emboscada”, disse Shahar Madar, vice-presidente de segurança e confiança do provedor de soluções de custódia Fireblocks. “Foi pegar carona em um fluxo existente.”
Hacks de engenharia social
Até certo ponto, a percepção de segurança das carteiras com várias assinaturas pode ter dado aos signatários uma falsa sensação de segurança, de acordo com Dan Hughes, que fundou a blockchain Radix.
O ataque também ressaltou outra verdade incômoda: apesar de todas as alegações das criptomoedas de terem criado um ecossistema transparente em que as blockchains interagem usando contratos de software automatizados, elas ainda dependem do julgamento humano em momentos críticos. E os humanos podem ser enganados.
Os hackers norte-coreanos se tornaram particularmente hábeis em explorar essa vulnerabilidade por meio dos chamados ataques de engenharia social no setor, disse o FBI em um aviso de setembro. No ataque à Bybit, os signatários receberam informações falsas que o código malicioso havia inserido, fazendo-os acreditar que estavam aprovando uma transação legítima.
Leia também: Setor cripto precisa de plataforma regulada se quiser cair no gosto do público
“Estou realmente sem saber como as bolsas de valores poderão se defender adequadamente contra isso e garantir que as cadeias de ferramentas usadas e as pessoas não sejam comprometidas social ou fisicamente”, disse Hughes.
O hack coloca os holofotes em uma questão potencialmente existencial para um setor que obteve uma grande vitória quando Donald Trump retornou à Casa Branca em janeiro e colocou defensores da criptografia em posições-chave. A Comissão de Valores Mobiliários, que embarcou em uma repressão de anos sob o comando do ex-presidente Gary Gensler, encerrou as investigações sobre várias empresas de criptografia nas últimas semanas.
Visando o núcleo da criptografia
Depois de anos perseguindo principalmente projetos de criptografia descentralizados com barreiras de segurança menores, os hackers norte-coreanos começaram a intensificar os ataques a bolsas centralizadas, atacando a DMM Bitcoin do Japão e a WazirX da Índia em 2024. A WazirX, que chegou a ser a maior bolsa de criptomoedas da Índia, entrou com pedido de reestruturação após o ataque.
As bolsas centralizadas estão no centro do ecossistema de criptomoedas e geralmente lidam com centenas de bilhões de dólares de volume de negociação por dia no total. O impacto de uma grande invasão como a da Bybit pode repercutir muito além da bolsa e de seus clientes. Éter, Bitcoin e outras criptomoedas caíram com a notícia do hack, assim como as ações da Coinbase, a maior bolsa listada.
Diante de hackers cada vez mais sofisticados representando Estados, as bolsas de criptomoedas precisam aumentar os gastos com segurança e também trabalhar mais de perto com os governos para rastrear e recuperar fundos antes que os criminosos os deixem fora de alcance, disse Ang, da TRM Labs. É provável que os órgãos reguladores repensem suas regras sobre como as bolsas lidam com os ativos dos clientes, disse ela.
A velocidade e a habilidade com que os hackers agiram quando entraram no sistema aumentaram a inquietação. Os ativos foram retirados da carteira da Bybit em segundos após a aprovação da transação e, em seguida, lavados usando bolsas descentralizadas e as chamadas pontes de cadeia cruzada para convertê-los em outras criptomoedas.
A Bybit diz que cerca de US$ 43 milhões da criptografia roubada foram recuperados, ou 3% do total. Ela lançou um site de caçadores de recompensas, oferecendo recompensas para aqueles que conseguirem rastrear e congelar os tokens roubados. Em uma declaração na quarta-feira, o FBI circulou uma lista de endereços de blockchain vinculados aos hackers e incentivou entidades em toda a criptosfera a bloquear transações relacionadas a eles.
Leia também: Este bilionário cripto perdeu o cargo em 2023. Mas ficou US$ 25 bi mais rico
“A escala e a velocidade dessa operação de lavagem mostram que a segurança das criptomoedas não está acompanhando o ritmo dos invasores”, disse Ang. “Esse ataque foi um teste de estresse para o setor, e ele quase não passou.”
Veja mais em Bloomberg.com
©2025 Bloomberg L.P.
