Introdução

Na noite de 21 de fevereiro de 2025, a exchange global de criptomoedas Bybit sofreu o maior ataque na história da indústria de criptomoedas. Durante a violação, mais de 500.000 ETH, stETH e mETH foram drenados das carteiras da Bybit, com a perda total excedendo US$ 1,46 bilhão com base nos preços de mercado daquele dia. Os ativos roubados foram rapidamente transferidos para endereços de carteira não identificados. Este ataque superou a violação da Poly Network de 2021, que viu US$ 611 milhões roubados, tornando-se o roubo de criptomoedas mais significativo.

Origem: https://www.ic3.gov/PSA/2025/PSA250226

Origem: https://x.com/benbybit/status/1894768736084885929

Fundada em 2018, a Bybit é uma das maiores bolsas de criptomoedas do mundo, com um volume médio diário de negociação superior a $36 bilhões. De acordo com a CoinMarketCap, a Bybit detinha aproximadamente $16,2 bilhões em ativos antes do hack, o que significa que o Ethereum roubado representava cerca de 9% do total de seus ativos.

O analista on-chain ZachXBT forneceu evidências sugerindo que o hack foi provavelmente realizado pelo grupo de hackers Lazarus Group ligado à Coreia do Norte. Ele recebeu uma recompensa de $30,000 por sua investigação sobre a vulnerabilidade.

Fonte: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Cronologia do Incidente

O Hack

Os atacantes usaram uma interface de usuário falsificada (UI) para infiltrar o computador de um funcionário da Safe (provedor de carteira), mirando especificamente na frente do sistema Safe da Bybit. Ao imitar uma interface de usuário legítima, os hackers puderam comprometer a carteira fria de múltiplas assinaturas ETH da Bybit. Os hackers modificaram furtivamente o conteúdo da transação durante o que parecia ser um processo de transação normal.

Uma vez que os signatários acreditavam estar autorizando uma transação legítima, eles não conseguiram detectar que ela havia sido substituída por um contrato malicioso. Isso resultou na transferência não autorizada de $1.46 bilhões de dólares em ETH para endereços desconhecidos controlados pelos invasores.

Fluxo de Ataque, Métodos e Defesa:

Movimentação de Fundos e Lavagem de Dinheiro

Entre 15h e 16h30 de 21 de fevereiro de 2025, os hackers concluíram a maioria das transferências de fundos. Após o ataque, apenas cerca de US$ 3 milhões em ETH permaneceram na carteira principal. O ETH roubado foi dividido em 40 transações de 10.000 ETH cada, enquanto o stETH e o mETH foram distribuídos para várias carteiras diferentes para obscurecer a trilha do fundo. Posteriormente, os hackers usaram exchanges descentralizadas (DEXs) para fragmentar e lavar ainda mais os fundos, com o objetivo de apagar todos os vestígios.

Fonte: https://www.lazarusbounty.com/en?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Impacto no Mercado

Mesmo antes de Bybit confirmar oficialmente o hack, os preços do BTC e ETH começaram a cair. Dentro de horas do anúncio, o Bitcoin caiu 3%, enquanto o Ethereum caiu 7%.

Durante o fim de semana, o ETH recuperou para $2,800 após recompra iniciada pela Bybit, mas caiu novamente na segunda-feira. O hacker agora se tornou o 14º maior detentor de ETH, e tal concentração de fundos pode exercer pressão negativa sobre a perspectiva de mercado do Ethereum.

Origem: https://x.com/Bybit_Official/status/1893585578706227545

Controvérsia Sobre Protocolos de Interoperabilidade

O grupo Lazarus frequentemente utiliza protocolos de troca entre cadeias como o THORChain para converter ativos roubados em Bitcoin. O THORChain facilita trocas diretas entre diferentes blockchains, como ETH para BTC, sem passar por exchanges centralizadas.

De acordo com o THORChain Explorer, o volume de 24 horas do protocolo em 5 de março atingiu $93 milhões. Os desenvolvedores por trás do protocolo enfrentaram duras críticas por supostamente permitir transações ilícitas de hackers norte-coreanos.

Origem: https://thorchain.net/dashboard

O que é o Grupo Lazarus?

O Grupo Lazarus é uma das organizações de hackers mais ativas e notórias globalmente. O nome 'Lazarus' vem da figura bíblica trazida de volta à vida, simbolizando a resiliência e ressurgimento.

Também conhecido como "Guardiões," "Paz," ou o "Time Whois," a filiação e estrutura interna do grupo permanecem amplamente desconhecidas. No entanto, acredita-se amplamente que opera sob o controle direto do governo norte-coreano. Inicialmente funcionando como uma gangue de cibercriminosos, o Lázaro evoluiu ao longo do tempo devido à escala e sofisticação de seus ataques. Agora é considerado um grupo de Ameaça Persistente Avançada (APT).

Diferentes instituições se referem a Lazarus por diversos nomes:

• O Departamento de Segurança Interna dos EUA chama-o de "Hidden Cobra"
• A Microsoft se refere a isso como "ZINC" ou "Diamond Sleet"

De acordo com o ex-oficial de inteligência norte-coreano Kim Kuk-song, o grupo é conhecido internamente na Coreia do Norte como o Escritório de Ligação 414.

O Departamento de Justiça dos EUA afirmou que o Lazarus Group opera como uma extensão do Estado norte-coreano. Suas atividades vão além da interrupção cibernética e incluem esforços para contornar as sanções internacionais e gerar receita ilícita. Ao realizar ataques cibernéticos de baixo custo e alto impacto, a Coreia do Norte pode implantar pequenas equipes de hackers que representam ameaças significativas aos sistemas financeiros globais e à infraestrutura crítica, particularmente na Coreia do Sul e em países ocidentais.

Fonte: https://pt.wikipedia.org/wiki/Lazarus_Group

Estrutura Organizacional

O Grupo Lázaro é composto principalmente por dois ramos:

1. BlueNorOff

Também conhecido como APT38, Stardust Chollima, ou BeagleBoyz, BlueNorOff concentra-se em cibercrimes financeiros, frequentemente envolvendo transações SWIFT fraudulentas para mover fundos ilegalmente. O grupo tem como alvo instituições financeiras em vários países, acredita-se que os fundos roubados apoiem os programas de mísseis e armas nucleares da Coreia do Norte.

Sua operação mais infame ocorreu em 2016, quando tentaram roubar quase $1 bilhão através da rede SWIFT. Um erro de digitação em uma das instruções impediu o Federal Reserve Bank de Nova York de completar parte das transferências. A BlueNorOff utiliza táticas como phishing, backdoors, exploits e malware (por exemplo, DarkComet, WannaCry). Eles também colaboram com outros grupos de cibercriminosos para expandir canais de dinheiro ilícito, aumentando os riscos globais de cibersegurança.

2. Andariel

Também conhecido como 'Silent Chollima', 'Dark Seoul', 'Rifle' e 'Wassonite', Andariel especializa-se em ciberataques direcionados à Coreia do Sul e é conhecido por suas operações furtivas. De acordo com um relatório de 2020 do Exército dos EUA, o grupo é composto por aproximadamente 1.600 membros responsáveis por reconhecimento cibernético, avaliações de vulnerabilidades e mapeamento das infraestruturas de rede inimigas para se preparar para futuros ataques.

Além de visar a Coreia do Sul, Andariel também lançou ataques contra agências governamentais, infraestrutura crítica e corporações em outros países.

Fonte: https://home.treasury.gov/news/press-releases/sm774

Operações Anteriores

Ao longo dos anos, o Grupo Lazarus lançou uma série de ciberataques em todo o mundo. Começando com campanhas DDoS iniciais como a Operação Troy (2009) e Dez Dias de Chuva (2011), eles evoluíram para operações mais complexas envolvendo:

• Limpeza de dados (por exemplo, Operação Dark Seoul, 2013)
• Roubo de dados (por exemplo, Hack da Sony Pictures, 2014)
• Roubos financeiros (iniciando em 2015)

Desde 2017, o grupo tem mirado fortemente no setor de criptomoedas, lançando ataques contra:

• Exchanges como Bithumb, Youbit, Atomic Wallet e WazirX
• Ponte interligada como Ponte Horizon
• Jogos de blockchain como Axie Infinity

Suas campanhas roubaram bilhões de dólares em ativos digitais.

Nos últimos anos, o Lazarus continuou a expandir-se para novos setores, incluindo saúde, cibersegurança e jogos online. Apenas em 2023, o grupo causou aproximadamente $300 milhões em perdas, representando 17,6% de todos os danos globais causados por hackers.

Origem: https://x.com/Cointelegraph/status/1894180646584516772

Como as Plataformas Respondem aos Ataques de Hackers

As exchanges de cripto normalmente adotam uma estratégia de segurança abrangente baseada em quatro pilares principais: prevenção, detecção, resposta a incidentes e recuperação.

1. Medidas preventivas (Defesa proativa)

• Fortalecer Arquitetura de Segurança: Implementar separação de carteiras frias e quentes, armazenar a maioria dos ativos em carteiras frias offline e utilizar mecanismos de autorização de múltiplas assinaturas (multi-sig).
• Controle rigoroso de acesso: Limite o acesso dos funcionários a dados sensíveis e adote um modelo de segurança de Confiança Zero para mitigar ameaças internas ou sistemas internos comprometidos.
• Aprimorar a Segurança de Contratos Inteligentes: Realizar auditorias detalhadas de contratos inteligentes para evitar vulnerabilidades como ataques de reentrada e estouro de inteiros.
• Autenticação Multifatorial (MFA): Exigir que todos os administradores e usuários habilitem a 2FA (Autenticação de Dois Fatores) para reduzir o risco de tomada de contas.
• Proteção contra DDoS: Use Content Delivery Networks (CDN) e proxies reversos para se defender contra ataques de negação de serviço distribuído (DDoS), garantindo a disponibilidade da plataforma.

2. Detecção em Tempo Real (Identificação Rápida de Ameaças)

• Monitoramento de Anomalias: Alavanque IA e aprendizado de máquina para detectar padrões de transações suspeitas e sinalizar saques incomuns ou grandes transferências.
• Análise On-Chain: Colaborar com empresas de inteligência blockchain como Chainalysis e Elliptic para monitorar endereços listados na lista negra e bloquear fluxos de fundos ilícitos.
• Registros de Auditoria: Manter registros abrangentes de todas as operações sensíveis (por exemplo, saques, alterações de permissão) e realizar auditorias em tempo real.

Origem: demo.chainalysis.com

3. Resposta a Incidentes (Protocolos pós-ataque)

• Congelamento Imediato da Conta: Ao detectar saques suspeitos, suspenda imediatamente as contas afetadas e congele as transferências de fundos para evitar mais perdas.
• Notificar Parceiros: Alertar rapidamente outras exchanges, empresas de segurança em blockchain e agências de aplicação da lei para rastrear ativos roubados.
• Corrigir Vulnerabilidades: Analisar rapidamente o vetor de ataque, selar quaisquer vulnerabilidades e prevenir recorrências.
• Comunicação Transparente com o Usuário: Publique anúncios prontamente para informar os usuários sobre o incidente e as etapas de correção.

4. Recuperação de Ativos (Mitigação de Perdas)

• Colaboração com as forças policiais: Trabalhar com agências internacionais como o FBI, Interpol e empresas de rastreamento de blockchain para recuperar fundos roubados.
• Compensação de Seguros: Algumas plataformas mantêm políticas de seguro contra hacking para compensar os usuários afetados.

• Fundos de Emergência: Estabeleça fundos de emergência, como o SAFU (Fundo de Ativos Seguros para Usuários) da Gate.io, para proteger os ativos do usuário durante incidentes críticos.

  Em 5 de março de 2025, o fundo de reserva da Gate.io estava em US$ 10,328 bilhões, destacando sua força financeira e capacidades de proteção ao usuário.

Fonte: www.gate.io

Fonte: https://www.gate.io/safu-user-assets-security-fund

A pedra angular da cibersegurança de uma plataforma de cripto reside no princípio:

"Prevenção em primeiro lugar, detecção oportuna, resposta eficiente e recuperação sólida."

As plataformas podem maximizar a proteção de ativos do usuário combinando arquitetura de segurança otimizada, análise on-chain e mecanismos de resposta rápida.

Como os usuários podem proteger seus ativos de cripto

As criptomoedas são totalmente digitais e, uma vez perdidas ou roubadas, a recuperação geralmente é impossível por meios tradicionais (por exemplo, bancos). Portanto, tomar precauções de segurança rigorosas é essencial. Abaixo estão as estratégias principais para proteger seus ativos de cripto.

1. Escolha Métodos de Armazenamento Seguros

Armazenamento a frio:

• Use carteiras de hardware (como Ledger, Trezor) ou carteiras de papel para armazenar a maioria dos ativos offline, longe de ataques baseados na internet.
• Nota: Manuseie as carteiras de hardware com cuidado para evitar danos físicos ou perdas. Sempre verifique as transações cuidadosamente antes de assinar - nunca confirme cegamente.

Carteiras Quentes:

• Usar apenas para armazenar pequenas quantias destinadas a transações diárias. Evite armazenar grandes quantias.
• Escolha carteiras confiáveis (por exemplo, MetaMask, Trust Wallet) e mantenha o software atualizado regularmente.

Origem: https://metamask.io/

2. Proteja suas chaves privadas e frases-semente

• Nunca Compartilhe: Sua chave privada ou frase-semente é a única credencial para acessar seus ativos—nunca a compartilhe com ninguém.
• Backup Seguro: Anote a sua frase-semente e guarde-a em um local à prova de fogo e água (por exemplo, um cofre). Evite salvá-la em dispositivos conectados à internet.
• Armazenamento Dividido: Considere dividir a frase-semente em partes e armazenar cada uma em locais diferentes para aumentar a segurança.

3. Segurança da Conta e da Exchange

• Ative a Autenticação de Dois Fatores (2FA): Use aplicativos como o Google Authenticator em vez de 2FA baseado em SMS, que é vulnerável a sequestros.
  Google Authenticator na Play Store
• Senhas Fortes: Use uma senha com pelo menos 12 caracteres, incluindo maiúsculas, minúsculas, números e símbolos. Altere as senhas regularmente.
• Diversificar o armazenamento: Não armazene toda a sua cripto em uma única carteira ou exchange.
• Escolha Trocas Seguras: Opte por plataformas com recursos como proteção DDoS e armazenamento a frio, e retire rapidamente grandes fundos para carteiras privadas.
• Desativar Acesso API Desnecessário: Prevenir roubo via exploração de API.
• Use Passkeys: Autenticar de forma segura com aprovação baseada em dispositivos em vez de senhas.

Origem: play.google.com

4. Prevenir Ataques Cibernéticos

• Cuidado com o phishing: Sempre verifique duas vezes os URLs dos sites e evite clicar em e-mails, mensagens de texto ou links de mídias sociais desconhecidos.
• Dispositivo Dedicado: Considere usar um dispositivo separado exclusivamente para transações de cripto para evitar exposição a malware ou sites arriscados.
• Verificar Endereços de Transferência: Verifique o endereço antes de enviar fundos para evitar sequestro da área de transferência. \
  Origem: Kratikal em Hijacking de Área de Transferência
• Evite o Wi-Fi público: Use uma VPN e evite fazer transações em redes não seguras.

Origem: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Segurança de Contrato Inteligente e DeFi

• Apenas Use Contratos Inteligentes Confiáveis: Envolva-se apenas com contratos auditados por empresas de segurança conhecidas.
  Principais Auditores de Blockchain pela AlquimiaTeste com Pequenas Quantias: Comece com uma pequena transação de teste antes de comprometer fundos significativos.
• Evite Golpes de Alto Rendimento: Tenha cuidado com projetos DeFi, NFT ou de agricultura de rendimento que prometem retornos incomumente altos.

Origem: https://www.alchemy.com/melhor/empresas-de-auditoria-de-blockchain

6. Estratégia de Segurança de Longo Prazo e Planejamento de Emergência

• Use Carteiras Multisig: Exija várias aprovações para autorizar transações - ideal para gerenciar ativos de alto valor.
• Auditorias regulares: Revisar periodicamente saldos de ativos e históricos de transações em busca de anomalias.
• Planejamento Legal & Patrimonial: Inclua ativos de cripto em seu plano patrimonial ou documentação de confiança para evitar perdas irreversíveis devido a chaves perdidas.
• Mantenha um perfil baixo: Não exiba sua riqueza em cripto em mídias sociais ou fóruns públicos para evitar se tornar um alvo de hackers.

Origem: coindesk.com

Conclusão

Este incidente não só resultou em perdas financeiras significativas para Bybit, mas também levantou preocupações mais amplas sobre confiança e segurança dentro da indústria cripto. Olhando para frente, as exchanges, equipes de projetos e usuários devem enfatizar mais fortemente práticas de segurança robustas. As áreas-chave de foco devem incluir gerenciamento de chaves privadas, implementação de carteiras multi-assinatura e auditorias detalhadas de contratos inteligentes.

À medida que as ameaças cibernéticas se tornam mais sofisticadas, espera-se que os órgãos reguladores globais introduzam requisitos de segurança mais rigorosos. A Financial Action Task Force (FATF), por exemplo, está avançando com novas propostas de combate à lavagem de dinheiro que visam os protocolos cross-chain para aprimorar a supervisão de plataformas descentralizadas e interações multi-chain. Paralelamente, agências como a SEC dos EUA e reguladores europeus podem aumentar a fiscalização dos padrões de segurança das exchanges e advogar por medidas mais rigorosas de conformidade com KYC e AML.

Para investidores individuais, proteger ativos digitais requer uma abordagem proativa. Isso inclui escolher plataformas com históricos de segurança sólidos, diversificar métodos de armazenamento de ativos e se manter informado sobre riscos emergentes. À medida que o ecossistema cripto continua a evoluir, a segurança deve permanecer uma prioridade central para garantir um crescimento sustentável e a confiança do usuário.