O mercado de criptomoedas enfrentou um golpe sem precedentes no dia 21 de fevereiro de 2025, quando a Bybit, o segundo maior intercâmbio de criptoativos do mundo, foi alvo de um roubo que ultrapassou 1,5 bilhões de dólares, o maior registrado na história da indústria. Este incidente provocou a retirada de 5 bilhões de dólares por investidores em pânico, expondo novamente as vulnerabilidades das plataformas centralizadas e reacendendo o debate sobre a segurança na custódia de ativos digitais.
Além das consequências diretas para a Bybit, este ataque serve como um alerta para investidores e usuários de criptomoedas, ressaltando a importância de adotar estratégias seguras para proteger fundos e minimizar riscos em um ambiente que continua sendo altamente volátil e suscetível a fraudes.
O hackeamento na Bybit não seguiu os padrões de ataques anteriores a intercâmbios; não foi resultado de falhas em seus servidores ou vazamentos de credenciais. Em vez disso, os atacantes realizaram um sofisticado ataque à cadeia de suprimentos, comprometendo a infraestrutura de um de seus principais fornecedores, o Safe{Wallet}, um serviço utilizado pela Bybit para gerenciar suas carteiras multisig.
A Bybit operava com um sistema em que a maioria dos fundos era armazenada em carteiras frias, desconectadas da internet, enquanto carteiras quentes eram recarregadas manualmente quando necessário. Para transferir fundos, a plataforma exigia assinaturas de múltiplos funcionários mediante hardware Ledger e um sistema de verificação baseado no Safe{Wallet}. O ataque consistiu na manipulação do código do Safe{Wallet}, permitindo que os hackers modificassem os dados da transação sem que os funcionários da Bybit percebessem. Ao invés de aprovar a transferência de 7 milhões de dólares para a carteira quente, eles assinaram, sem saber, uma transação que esvaziou uma das carteiras frias, enviando os fundos a centenas de endereços falsos. Após o término do saque, o código malicioso foi automaticamente apagado, ocultando o rastro do ataque.
As investigações identificaram esse ataque como uma operação direcionada, com indícios de que o grupo Lazarus, uma organização cibercriminal ligada à Coreia do Norte e responsável por múltiplos roubos no setor, estava por trás do crime.
Conhecido também como TraderTraitor, APT38 ou BlueNoroff, o grupo Lazarus foi responsável por alguns dos maiores hackeamentos na história das criptomoedas. Sua estratégia se baseia em ataques persistentes e altamente sofisticados, dirigidos a intercâmbios, carteiras e desenvolvedores de software. Os roubos mais notorios da organização incluem 540 milhões de dólares da Ronin Network em 2022, 300 milhões da DMM Bitcoin em 2024, e 275 milhões perdidos pela KuCoin em 2020 devido a vazamentos de chaves privadas.
Estima-se que os ganhos ilícitos do Lazarus no setor de criptomoedas superem 6 bilhões de dólares, tornando-o o ator mais perigoso do ecossistema de ativos digitais.
Apesar do tamanho do ataque, a Bybit conseguiu absorver as perdas e manter sua estabilidade operacional. A plataforma garantiu aos clientes a devolução dos fundos roubados e reforçou suas medidas de segurança. No entanto, o impacto do hackeamento gerou novas dúvidas sobre a segurança dos intercâmbios centralizados, resultando em um aumento na adoção de estratégias de autocustódia. A Bybit ofereceu uma recompensa de 10% pela recuperação de qualquer fundo roubado, mas, até o momento, apenas 43 milhões de dólares foram rastreados.
A discussão sobre a possibilidade de reverter a blockchain do Ethereum a um estado anterior ao ataque foi descartada pelos desenvolvedores por considerarem essa medida tecnicamente inviável.
Este caso destaca que, no mundo das criptomoedas, nenhuma plataforma é completamente segura, e os usuários devem assumir um papel ativo na proteção dos seus fundos. A autocustódia está ganhando relevância, mas também implica uma maior responsabilidade. Para aqueles que desejam reduzir os riscos, algumas medidas essenciais devem ser adotadas, como utilizar carteiras de hardware com tela e evitar armazenar frases-semente (seed phrases) em formato digital.
Além disso, é imprescindível diversificar o armazenamento dos fundos, utilizar um computador dedicado para transações de criptomoedas e escolher cuidadosamente o software da carteira, além de manter uma segurança digital rigorosa. As tentativas de phishing estão se tornando cada vez mais sofisticadas, tornando essencial que os investidores permaneçam vigilantes em relação a possíveis tentativas de engenharia social.
O hackeamento à Bybit é um claro aviso sobre a fragilidade da infraestrutura centralizada no mundo cripto. Embora os intercâmbios tenham feito progressos em termos de segurança, nenhuma plataforma é infalível. A melhor estratégia para proteger os fundos continua sendo a autocustódia, mas somente se as medidas adequadas forem tomadas. Os investidores devem adotar uma abordagem proativa em relação à segurança digital, diversificando seus ativos e evitando confiar plenamente em terceiros. Assim, é possível minimizar riscos e operar com maior tranquilidade em um ambiente em que as ameaças continuam a evoluir.
