A plataforma de criptomoedas Bybit anunciou na sexta-feira que sofreu um ataque “sofisticado”, resultando na subtração de mais de US$ 1,5 bilhão em ativos digitais de uma de suas carteiras frias (offline) Ethereum, tornando-se o maior roubo já registrado no setor.
“O incidente aconteceu quando nossa carteira fria multisig ETH processou uma transferência para nossa carteira quente. Infelizmente, essa operação foi comprometida por meio de um ataque avançado que alterou a interface de assinatura, exibindo o endereço correto, mas modificando a lógica do contrato inteligente subjacente”, afirmou a Bybit em uma publicação na plataforma X.
“Como consequência, o invasor conseguiu assumir o controle da carteira fria ETH afetada e movimentar os ativos para um endereço desconhecido.”
Em um comunicado separado divulgado na mesma rede social, o CEO da Bybit, Ben Zhou, assegurou que as demais carteiras frias permanecem protegidas. A empresa também informou que notificou as autoridades competentes sobre o caso.
Leia também
Embora ainda não haja uma confirmação oficial da Bybit, as empresas de análise blockchain Elliptic e Arkham Intelligence apontaram que o ataque foi conduzido pelo notório Lazarus Group. Esse episódio supera incidentes anteriores, como os ataques à Ronin Network (US$ 624 milhões), Poly Network (US$ 611 milhões) e BNB Bridge (US$ 586 milhões), consolidando-se como o maior assalto digital já registrado.
O pesquisador independente ZachXBT declarou que conseguiu “conectar o hack da Bybit ao ataque à Phemex”, que ocorreu no final do mês passado.
O grupo de cibercriminosos associado à Coreia do Norte é um dos mais ativos do mundo, tendo realizado diversas ofensivas contra plataformas de criptomoedas para financiar o regime norte-coreano, que enfrenta sanções internacionais. No ano passado, o Google classificou o país asiático como “provavelmente a maior organização criminosa cibernética do mundo”.
Em 2024, estima-se que US$ 1,34 bilhão tenham sido desviados em 47 ataques direcionados a ativos digitais, representando 61% de todas as criptomoedas obtidas ilegalmente no período, conforme relatório da empresa de inteligência blockchain Chainalysis.
“O crescimento dos crimes envolvendo criptomoedas se deve à alta rentabilidade dos ataques, às dificuldades na identificação dos responsáveis e à inexperiência de muitas empresas com tecnologias Web3”, afirmou a Mandiant, subsidiária do Google, no mês passado.
Atualização
Em um comunicado posterior, a Bybit revelou que identificou uma movimentação não autorizada em uma de suas Cold Wallets Ethereum (ETH) durante um procedimento de transferência rotineiro em 21 de fevereiro de 2025, por volta das 12h30 UTC.
“A transação fazia parte de um processo programado de realocação de ETH da nossa ETH Multisig Cold Wallet para nossa Hot Wallet”, informou a empresa.
“Infelizmente, a operação foi interceptada por um ataque sofisticado que modificou a lógica do contrato inteligente e alterou a interface de assinatura, permitindo que o invasor assumisse o controle da ETH Cold Wallet. Como resultado, mais de 400.000 ETH e stETH, avaliados em mais de US$ 1,5 bilhão, foram transferidos para um endereço não identificado.”
A TRM Labs também associou o ataque ao Lazarus Group com alto grau de confiança, baseando-se em “semelhanças significativas entre os endereços utilizados pelos hackers da Bybit e aqueles já vinculados a roubos anteriores orquestrados pela Coreia do Norte”.
“O incidente da Bybit representa uma nova fase nos métodos de ataque, incorporando técnicas avançadas para manipular interfaces de usuário”, observou a Check Point Research. “Em vez de explorar apenas vulnerabilidades do protocolo, os criminosos empregaram engenharia social avançada, manipulando interfaces para comprometer uma configuração multisig corporativa de alto nível.”
A empresa de cibersegurança também destacou que o caso reforça a vulnerabilidade de carteiras frias multisig, uma vez que os signatários podem ser iludidos ou comprometidos, evidenciando a crescente sofisticação dos ataques envolvendo manipulação da cadeia de suprimentos e de interfaces.
Em uma análise detalhada publicada no fim de semana, a Elliptic apontou que o Lazarus Group segue um padrão recorrente para ocultar o dinheiro desviado, convertendo tokens roubados em ativos nativos de blockchain, como Ether, para evitar que os fundos sejam congelados.
“Foi exatamente esse o procedimento adotado minutos após o roubo da Bybit, quando centenas de milhões de dólares em ativos como stETH e cmETH foram convertidos em Ether”, explicou a empresa, acrescentando que os valores foram fragmentados em 50 carteiras diferentes dentro de duas horas após o ataque e posteriormente movimentados por meio de exchanges como a eXch para conversão em bitcoin.
“O Lazarus Group é, sem dúvida, a organização mais experiente e tecnologicamente avançada quando se trata de lavagem de criptomoedas, ajustando constantemente suas estratégias para evitar rastreamento e confisco dos ativos ilícitos”, concluiu a Elliptic.
+Mais
Norte-coreanos avançam na lavagem de dinheiro após roubo bilionário da Bybit
Zapier sofre invasão em repositórios de código e dados de clientes podem ter sido acessados
ICO do Reino Unido investiga TikTok, Reddit e Imgur por proteção de dados infantis