** última atualização feita em 27-fev-205, 19:49 GMT
Na última sexta-feira (21 de fevereiro), a exchange Bybit sofreu um dos maiores hacks da história de crypto. O valor roubado ultrapassou US$ 1,4 bilhão, e tudo aconteceu em pouco mais de dois minutos, por meio de seis transações.
Sempre adorei histórias de grandes golpes e assaltos (quem não?). O que motiva os hackers? Como conseguem burlar sistemas teoricamente seguros? Esse tipo de mistério já foi tema de inúmeros filmes, livros e documentários. Mas, no mundo do blockchain, há um diferencial: todos nós podemos acompanhar o desenrolar dos fatos em tempo real.
Diferente do que acontece em crimes financeiros tradicionais, onde dependemos de investigações fechadas conduzidas por especialistas, no universo cripto qualquer um pode monitorar os fundos roubados, rastrear transações e, em alguns casos, até ajudar a bloquear os ativos desviados. A transparência do blockchain torna isso possível.
Além disso, analisar hacks como esse nos ensina lições sobre segurança digital, especialmente num cenário onde a autocustódia dos ativos está cada vez mais presente.
Vamos aos detalhes, análises e aprendizados.
O Que Aconteceu na Bybit?
Na sexta-feira, um hacker conseguiu fazer com que três funcionários da Bybit assinassem uma transação que lhe concedeu acesso irrestrito aos fundos armazenados em uma das cold wallets da exchange.
Essa carteira era protegida por um sistema multisig (assinatura múltipla), onde era necessária a aprovação de três assinaturas de um total de seis possíveis para qualquer movimentação. O que se sabe até agora é que os funcionários viam uma transação aparentemente legítima na tela, mas o código por trás da interface era manipulado, redirecionando os fundos para o hacker.
Assim que a terceira assinatura foi validada, o hacker agiu rápido: em apenas dois minutos, realizou cinco transações e transferiu todos os ativos para uma carteira sob seu controle.
➡️Lista com os maiores Hacks da historia: https://rekt.news/leaderboard/
➡️Live com o Ben Zhaou da bybit sobre o incidente: https://x.com/Bybit_Official/status/1892986507113439328
➡️Eliezer Ndinga: https://x.com/elindinga/status/1892986034285121758
➡️ Elliptic sobre o ocorrido: https://www.elliptic.co/blog/bybit-hack-largest-in-history
➡️ Entrevista com o Ben Zhaou 3 dias apos o incidente:
Como Isso Foi Possível?
O ataque se baseou na manipulação do que os funcionários viam na tela. Eles acreditavam estar aprovando uma simples transação de envio de tokens para uma carteira conhecida, mas, na realidade, estavam assinando uma transação que não transferia ativos diretamente, e sim concedia ao hacker o controle total da carteira.
Nos últimos anos, muitos ataques hacker no setor cripto deixaram de explorar falhas em contratos inteligentes e passaram a focar na manipulação humana, usando técnicas de engenharia social. Como a maioria dos sistemas blockchain já passou por anos de testes e auditorias (e, por serem de código aberto, estão constantemente sob escrutínio público), encontrar vulnerabilidades técnicas está cada vez mais difícil.
Já explorar falhas humanas continua sendo uma estratégia extremamente eficaz, porque nossos vieses e erros continuam os mesmos. E esse hack foi mais um exemplo disso.
Alguns dias após o indicente (25-fev), a investigacao interna da Bybit indicou que o hack provavelmente teria sido feito na SAFE, que é a provedora da multisig wallet que era utilizada erro. Atraves dela os hackers teriam alterado o UX da pagina de assinatura para mostrar os dados errados para os assinantes da transacao. Essa informacao causou um bom disconforto em toda comunidade cripto, pois as carteiras multisig da SAFE sao utilizadas por praticamente todos e ficou a duvida se o foco seria sometne essa carteira especifica ou todas as multisigs estariam em risco.
Diante disso, a SAFE foi rapida em negar que houvesse qualquer vulnerabilidade dos seus contratos inteligentes e que o problema foi o compromentimento uma “machine of a Safe{Wallet}”, seja lá o que isso queira dizer. Por sinal isso levou a criticas da comunidade inclusive uma bastante forte do CZ.
Minha conclusao, ate o momento, é que, como acontece em vários casos como esse, nunca é só um problema. Esse envolveu uma alteracao da UX, que levou os assinantes a assinarem coisas diferentes do que estavam vendo.
➡️Video com explicacao detalhada de como o hack foi executado:
➡️ Conclusoes preliminares da investigacao da BYBIT: https://x.com/benbybit/status/1894768736084885929
➡️ Conclusoes preliminares da investigacao da SAFE: https://x.com/safe/status/1894768522720350673
➡️ CZ criticando resposta da SAFE: https://x.com/cz_binance/status/1894787596443885698
Como Descobriram a Ligação com a Coreia do Norte?
Pouco depois do ataque, investigações independentes ligaram a carteira que recebeu os fundos ao grupo Lazarus, conhecido por diversos hacks no setor cripto e no mercado financeiro tradicional.
O Lazarus, segundo diversas fontes, é financiado pelo governo da Coreia do Norte, sendo responsável por ataques que visam desviar dinheiro para sustentar o regime do país.
➡️Zachxbt faz o link do hack com o Lazarus - https://x.com/arkham/status/1893033424224411885
➡️ FBI afirma que Coreia do Norte foi responsável pelo hack: https://www.reuters.com/technology/cybersecurity/fbi-says-north-korea-was-responsible-15-billion-bybit-hack-2025-02-27/
➡️Historia do grupo Lazarus:
Se o Blockchain é Transparente, Como o Hacker Vai Liquidar os Tokens?
Essa é uma das grandes questões. No mundo cripto, qualquer transação pode ser rastreada. Isso significa que os fundos roubados já estão sendo monitorados, e mais de 1.000 carteiras associadas ao hacker foram marcadas como suspeitas.
Além disso, alguns milhares de dólares já foram congelados em exhanges e stablecoins. Houve até a tentativa de usar uma memecoin recém-criada para tentar “limpar” os tokens e dificultar o rastreamento.
Mas o desafio para os hackers permanece: converter esses ativos em dinheiro sem serem identificados. Esse processo pode levar meses ou até anos.
➡️Mapeamento Arkham de para onde os tokens foram: https://intel.arkm.com/visualizer/entity/bybit-hacker
A Bybit pode recuperar os valores?
É difícil, mas não impossível.
A única maneira de reverter completamente o hack seria através de um hard fork da Ethereum, voltando a rede para um estado anterior à transação fraudulenta. Algo assim já aconteceu no passado, no famoso caso do hack da DAO em 2016, que levou à divisão entre Ethereum (ETH) e Ethereum Classic (ETC). No entanto, neste caso, um fork desse tipo é altamente improvável, pois exigiria um consenso amplo da comunidade e prejudicaria a credibilidade da rede.
O que pode acontecer – e já está acontecendo – é o bloqueio dos ativos roubados sempre que o hacker tenta movimentá-los para plataformas centralizadas ou aplicações que permitem esse tipo de controle. Por exemplo:
Se ele tentar converter os fundos em stablecoins como USDT ou USDC, essas empresas podem congelar os tokens associados ao ataque.
Se os fundos forem enviados para uma exchange centralizada, ela pode identificar e bloquear as carteiras suspeitas.
Além disso, a Bybit já anunciou uma recompensa de 10% do valor roubado para quem ajudar na recuperação dos fundos, incentivando caçadores de recompensas e analistas on-chain a rastrear os movimentos do hacker.
Embora a recuperação total seja improvável, o cerco está se fechando – e o hacker terá dificuldades para liquidar os ativos sem ser detectado.
➡️ Site de transparencia criado para acompanhar os movementos dos Hacker e tambem o programa de recompensas por recuperacao de valores: https://www.lazarusbounty.com/pt-BR/
➡️ ~ usd 42 milhões já bloqueados: https://x.com/Bybit_Official/status/1893687749229563958
A Bybit Vai Quebrar?
A princípio, não. No momento em que escrevo este artigo, o CEO da Bybit já afirmou publicamente que os fundos dos clientes estão seguros e totalmente garantidos na proporção 1:1.
Além disso, ele prometeu disponibilizar uma prova on-chain da solvência da exchange em breve.
Embora não tenha analisado os balanços financeiros da Bybit, há postagens no X (antigo Twitter) indicando que sua receita anual supera com folga os US$ 1,4 bilhão perdidos no ataque. Como a Bybit está entre as cinco maiores exchanges em volume de transações, isso faz sentido.
Os primeiros dias foram essencias nessa trajetoria e o Ben deu uma aula sobre como atuar em crises. Verdade seja dita que eles ja tinham varios processos de gestao de crise e que foram seguidos e ajudaram muito, mas nada disso tira o merito dele, seja por ter organizado isso ex-ante seja pela forma como atuou.
➡️Ben Zhou sobre tokens de clientes já estarem 1:1 https://x.com/benbybit/status/1893865556840775758
➡️ Auditoria onchain das reservas 1:1 dos clientes bybit: https://www.bybit.com/app/user/audit-report
💧✨ Exclusividade FinTrender ✨💧
Os NFTs continuam! 🚀 Garanta sua Gota Exclusiva FinTrender, totalmente GRATUITA e celebre sua conexão especial com o universo FinTrender.
➡️ Acesse Gotas.social e use o código LAZARUSBYBIT para resgatar a sua.
💡 Não perca essa oportunidade no universo Web3, powered by Gotas! 💧
Poderia Ter Sido Evitado?
Aqui entramos numa discussão crucial. O setor cripto tem muito a aprender com o mercado financeiro tradicional quando o assunto é segurança.
É claro que nenhum sistema é infalível — o próprio Banco Central de Bangladesh já foi hackeado pelo grupo Lazarus, perdendo US$ 100 milhões. Mas algumas perguntas precisam ser feitas:
Por que um valor tão alto estava em uma única carteira?
Se os fundos estivessem distribuídos em dez carteiras menores, o hacker teria acessado apenas 10% do valor total.Como a interface de assinatura foi comprometida?
Existe alguma forma de garantir que a interface mostre exatamente o que está sendo assinado no código-fonte?Por que não havia uma whitelist de endereços autorizados?
Exchanges costumam ter essa medida de segurança, mas, neste caso, ela não parece ter sido eficaz. Além disso, há duas limitações:Whitelists normalmente funcionam apenas para tokens ERC-20, enquanto grande parte do valor roubado foi do token nativo da rede Ethereum (ETH).
Como o hacker obteve controle total da carteira multisig, ele poderia simplesmente adicionar a própria carteira à whitelist.
Por que as operacoes nao foram simuladas antes de serem registradas na Blockchain? Uma simulacao das operacoes usando o Tenderly ou Foundry forge nao poderia ter sido feita para valores como esses antes da aprovacao?
Lições para o Futuro
Sempre enxerguei custódia de ativos sob uma ótica de gestão de risco de crédito, e o maior aprendizado desse caso é simples: diversificação é essencial.
No caso de grandes custodiantes, a diversificação deveria ocorrer entre múltiplas carteiras multisig, com diferentes grupos de pessoas autorizadas, garantindo que todas realmente entendam os riscos e os mecanismos do blockchain. Alem disso, para os maiores clientes da exchanges poderia se ter linhas de credito internas na Exchange para tentar minimizar ao máximo moviementos de ativos/custodia.
Já para nós, usuários comuns, o princípio continua o mesmo. Como não temos carteiras que representam um honeypot (um alvo grande o suficiente para atrair ataques altamente sofisticados), somos menos visados.
Mas isso não significa que estamos imunes. Essa corrida de gato e rato entre o hacker e todos usuarios estará sempre presente e entao o ideial é sempre tomar o máximo cuidado, sempre se atualizar em melhores sistemas/formas/procedimentos e nao deixar de diversificar. Diversificar entre exchanges, autocustódia, hard wallets, sistemas de assinaturas e até diferentes blockchains.
Este caso ainda está em desenvolvimento, e novas informações podem surgir a qualquer momento. Vou atualizar este artigo conforme tivermos mais detalhes. Caso tenha alguma duvida que não respondi acima, tenha entendido alguma coisa diferente ou tenha mais informacoes por favor comente e vamos juntos desvendar esse mistério e aprender com ele.
Todas as opiniões expressas aqui são exclusivamente minhas e de minha total responsabilidade. Dito isso, gostaria de agradecer a Leandro Pereira e Jeff Prestes pelas discussões enriquecedoras, que contribuíram significativamente para este texto.
Abcs,
Gustavo Cunha
--
Seguimos em contato nos links abaixo:
FinTrender.com, YouTube, LinkedIn, Instagram, Twitter, Facebook e podcast FinTrender
Será que o hacker acreditava que conseguiria sacar esses ETHs? Com o conhecimento que ele tem não era difícil imaginar que seria muito complicado.
Super explicativo, até diria que pelo tamanho do ataque se falou pouco nos canais de economia tradicionais. Muito bem colocado a questão de que o ponto de vulnerabilidade está se tornando as pessoas e não mais a tecnologia por si!