Introdução

Na noite de 21 de fevereiro de 2025, a bolsa de criptomoedas global Bybit sofreu o maior ataque hacker da história da indústria de criptomoedas. Durante a violação, mais de 500.000 ETH, stETH e mETH foram retirados das carteiras da Bybit, com perdas totais superiores a 1,46 bilhões de dólares com base nos preços de mercado daquele dia. Os ativos roubados foram rapidamente transferidos para endereços de carteira não identificados. Este ataque superou a violação da Poly Network em 2021, que resultou no roubo de 611 milhões de dólares, tornando-se o roubo de criptomoedas mais significativo.

Origem: https://www.ic3.gov/PSA/2025/PSA250226

Fonte: https://x.com/benbybit/status/1894768736084885929

Fundada em 2018, a Bybit é uma das maiores bolsas de criptomoedas do mundo, com um volume médio diário de negociação superior a $36 bilhões. De acordo com a CoinMarketCap, a Bybit detinha aproximadamente $16,2 bilhões em ativos antes do hack, o que significa que o Ethereum roubado representava cerca de 9% do total de seus ativos.

O analista on-chain ZachXBT forneceu evidências sugerindo que o hack provavelmente foi realizado pelo grupo de hackers Lazarus Group, ligado à Coreia do Norte. Ele recebeu uma recompensa de $30,000 pela sua investigação sobre a vulnerabilidade.

Origem: https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Cronologia do Incidente

O Hack

Os atacantes usaram uma interface de usuário falsificada (UI) para se infiltrar no computador de um funcionário da Safe (provedor de carteira), visando especificamente a parte frontal do sistema Safe da Bybit. Ao imitar uma interface de usuário legítima, os hackers puderam comprometer a carteira fria multi-assinatura ETH da Bybit. Os hackers alteraram sorrateiramente o conteúdo da transação durante o que parecia ser um processo de transação normal.

Uma vez que os signatários acreditavam que estavam a autorizar uma transação legítima, não conseguiram detetar que esta tinha sido substituída por um contrato malicioso. Isso resultou na transferência não autorizada de $1.46 bilhões de ETH para endereços desconhecidos controlados pelos atacantes.

Fluxo de Ataque, Métodos e Defesa:

Movimento de Fundos e Branqueamento de Capitais

Entre as 15:00 e as 16:30 de 21 de fevereiro de 2025, os hackers concluíram a maioria das transferências de fundos. Após o ataque, apenas cerca de $3 milhões em ETH permaneceram na carteira principal. O ETH roubado foi dividido em 40 transações de 10.000 ETH cada, enquanto o stETH e mETH foram distribuídos por várias carteiras diferentes para obscurecer o rasto dos fundos. Posteriormente, os hackers utilizaram trocas descentralizadas (DEXs) para fragmentar e lavar os fundos, com o objetivo de apagar todas as pistas.

Origem: https://www.lazarusbounty.com/en?utm_source=Sailthru&utm_medium=email&utm_campaign=the%20node%20feb%2025%202025&utm_term=The%20Node

Impacto no Mercado

Mesmo antes de a Bybit confirmar oficialmente o hack, os preços do BTC e ETH começaram a cair. Dentro de horas após o anúncio, o Bitcoin caiu 3%, enquanto o Ethereum caiu 7%.

Durante o fim de semana, a ETH recuperou para $2,800 após recompra iniciada pela Bybit, mas caiu novamente na segunda-feira. O hacker agora se tornou o 14º maior detentor de ETH, e tal concentração de fundos pode exercer pressão negativa sobre a perspetiva de mercado da Ethereum.

Fonte: https://x.com/Bybit_Official/status/1893585578706227545

Controvérsia sobre Protocolos de Interoperabilidade entre Cadeias

O grupo Lazarus usa frequentemente protocolos de troca entre cadeias, como o THORChain, para converter ativos roubados em Bitcoin. O THORChain facilita trocas diretas entre diferentes blockchains, como ETH para BTC, sem passar por bolsas centralizadas.

De acordo com o Explorer THORChain, o volume de 24 horas do protocolo em 5 de março atingiu $93 milhões. Os desenvolvedores por trás do protocolo têm enfrentado duras críticas por alegadamente permitirem transações ilícitas por hackers norte-coreanos.

Fonte: https://thorchain.net/dashboard

O que é o Grupo Lazarus?

O Grupo Lazarus é uma das organizações de hackers mais ativas e notórias a nível global. O nome 'Lazarus' vem da figura bíblica trazida de volta à vida, simbolizando resiliência e ressurgimento.

Também referido como “Guardiões”, “Paz” ou a “Equipe Whois”, a adesão e estrutura interna do grupo permanecem em grande parte desconhecidas. No entanto, acredita-se amplamente que opera sob o controle direto do governo norte-coreano. Inicialmente funcionando como uma gangue de cibercriminosos, o Lazarus evoluiu ao longo do tempo devido à escala e sofisticação de seus ataques. É agora considerado um grupo de Ameaça Persistente Avançada (APT).

Diferentes instituições referem-se a Lazarus por vários nomes:

• O Departamento de Segurança Interna dos EUA chama-o de "Hidden Cobra"
• A Microsoft refere-se a ele como "ZINC" ou "Diamond Sleet"

Segundo o ex-oficial de inteligência norte-coreano Kim Kuk-song, o grupo é conhecido internamente na Coreia do Norte como o 414 Escritório de Ligação.

O Departamento de Justiça dos EUA afirmou que o Grupo Lazarus opera como uma extensão do estado norte-coreano. Suas atividades vão além da perturbação cibernética e incluem esforços para contornar sanções internacionais e gerar receitas ilícitas. Ao realizar ciberataques de baixo custo e alto impacto, a Coreia do Norte pode implantar pequenas equipes de hackers que representam ameaças significativas aos sistemas financeiros globais e à infraestrutura crítica, especialmente na Coreia do Sul e nos países ocidentais.

Fonte: https://pt.wikipedia.org/wiki/Lazarus_Group

Estrutura Organizacional

O Grupo Lazarus é principalmente composto por dois ramos:

1. BlueNorOff

Também conhecido como APT38, Stardust Chollima, ou BeagleBoyz, o BlueNorOff concentra-se em cibercrime financeiro, envolvendo frequentemente transações SWIFT fraudulentas para mover fundos ilegalmente. O grupo tem como alvo instituições financeiras em vários países, acredita-se que os fundos roubados apoiam os programas de mísseis e armas nucleares da Coreia do Norte.

A sua operação mais infame ocorreu em 2016, quando tentaram roubar quase 1 bilhão de dólares através da rede SWIFT. Um erro de ortografia numa das instruções impediu o Federal Reserve Bank de Nova Iorque de completar parte das transferências. A BlueNorOff utiliza táticas como phishing, backdoors, exploits e malware (por exemplo, DarkComet, WannaCry). Colaboram também com outros grupos de cibercriminosos para expandir os canais de dinheiro ilícito, aumentando os riscos de cibersegurança globais.

2. Andariel

Também conhecido como "Silent Chollima," "Dark Seoul," "Rifle," e "Wassonite," Andariel especializa-se em ciberataques direcionados à Coreia do Sul, sendo conhecido pelas suas operações furtivas. De acordo com um relatório de 2020 do Exército dos EUA, o grupo é composto por aproximadamente 1.600 membros responsáveis por reconhecimento cibernético, avaliações de vulnerabilidades e mapeamento de infraestruturas de rede inimigas para se preparar para futuros ataques.

Para além de visar a Coreia do Sul, a Andariel também lançou ataques contra agências governamentais, infraestruturas críticas e empresas noutros países.

Origem: https://home.treasury.gov/news/press-releases/sm774

Operações Anteriores

Ao longo dos anos, o Grupo Lazarus lançou uma série de ciberataques em todo o mundo. Começando com campanhas iniciais de DDoS como Operação Troy (2009) e Dez Dias de Chuva (2011), evoluíram para operações mais complexas envolvendo:

• Data-wiping (por exemplo, Operação Dark Seoul, 2013)
• Roubo de dados (por exemplo, Hack da Sony Pictures, 2014)
• Roubos financeiros (começando em 2015)

Desde 2017, o grupo tem visado fortemente o setor de criptomoedas, lançando ataques contra:

• Exchanges como Bithumb, Youbit, Atomic Wallet e WazirX
• Ponte de interligação entre cadeias como a Ponte Horizon
• Jogos Blockchain como Axie Infinity

As suas campanhas roubaram bilhões de dólares em ativos digitais.

Nos últimos anos, o Lazarus continuou a expandir-se para novos setores, incluindo cuidados de saúde, cibersegurança e jogo online. Apenas em 2023, o grupo causou aproximadamente $300 milhões em perdas, o que representa 17.6% de todos os danos globais causados por hacking.

Origem: https://x.com/Cointelegraph/status/1894180646584516772

Como as plataformas respondem a ataques de hackers

As bolsas de cripto normalmente adotam uma estratégia de segurança abrangente baseada em quatro pilares-chave: prevenção, detecção, resposta a incidentes e recuperação.

1. Medidas Preventivas (Defesa Proativa)

• Reforçar a Arquitetura de Segurança: Implementar a separação de carteiras frias e quentes, armazenar a maioria dos ativos em carteiras frias offline e utilizar mecanismos de autorização de multi-assinatura (multi-sig).
• Controlo rigoroso de acesso: Limite o acesso dos funcionários a dados sensíveis e adote um modelo de segurança Zero Trust para mitigar ameaças internas ou sistemas internos comprometidos.
• Aprimorar a Segurança de Contratos Inteligentes: Realizar auditorias minuciosas em contratos inteligentes para evitar vulnerabilidades como ataques de reentrância e estouro de inteiros.
• Autenticação de vários fatores (MFA): Exigir que todos os administradores e utilizadores ativem a 2FA (Autenticação de dois fatores) para reduzir o risco de tomada de conta da conta.
• Proteção contra DDoS: use redes de distribuição de conteúdo (CDN) e proxies reversos para se defender contra ataques distribuídos de negação de serviço (DDoS), garantindo a disponibilidade da plataforma.

2. Deteção em tempo real (identificação rápida de ameaças)

• Monitorização de Anomalias: Alavanque a IA e o machine learning para detetar padrões de transações suspeitos e assinalar levantamentos incomuns ou transferências de grandes montantes.
• Análise On-Chain: Colaborar com empresas de inteligência blockchain como Chainalysis e Elliptic para monitorizar endereços em lista negra e bloquear fluxos de fundos ilícitos.
• Registos de Auditoria: Manter registos abrangentes de todas as operações sensíveis (por exemplo, levantamentos, alterações de permissão) e realizar auditorias em tempo real.

Origem: demo.chainalysis.com

3. Resposta a Incidentes (Protocolos Pós-Ataque)

• Congelamento Imediato da Conta: Ao detetar levantamentos suspeitos, suspenda imediatamente as contas afetadas e congele as transferências de fundos para evitar mais perdas.
• Notificar Parceiros: Alertar rapidamente outras bolsas, empresas de segurança blockchain e agências de aplicação da lei para rastrear ativos roubados.
• Patch Vulnerabilities: Analisar rapidamente o vetor de ataque, selar quaisquer vulnerabilidades e evitar recorrência.
• Comunicação transparente com o utilizador: Publicar anúncios atempadamente para informar os utilizadores do incidente e das medidas de remediação.

4. Recuperação de Ativos (Mitigação de Perdas)

• Colaboração com a aplicação da lei: Trabalhe com agências internacionais como o FBI, a Interpol e empresas de rastreamento de blockchain para recuperar fundos roubados.
• Compensação de Seguro: Alguns plataformas mantêm políticas de seguro contra hacking para compensar os utilizadores afetados.

• Fundos de Emergência: Estabeleça fundos de emergência, como o SAFU (Fundo de Ativos Seguros para Usuários) da Gate.io, para proteger os ativos do usuário durante incidentes críticos.

  Em 5 de março de 2025, o fundo de reserva da Gate.io era de $10.328 bilhões, destacando sua força financeira e capacidades de proteção do usuário.

Origem: www.gate.io

Origem: https://www.gate.io/safu-fundo-de-seguranca-de-ativos-do-usuario

A pedra angular da cibersegurança de uma plataforma de cripto reside no princípio:

"Prevenção em primeiro lugar, deteção atempada, resposta eficiente e recuperação sólida."

As plataformas podem maximizar a proteção de ativos do usuário combinando arquitetura de segurança otimizada, análise on-chain e mecanismos de resposta rápida.

Como os Utilizadores Podem Proteger os Seus Ativos Cripto

As criptomoedas são totalmente digitais e, uma vez perdidas ou roubadas, a recuperação geralmente é impossível através de meios tradicionais (por exemplo, bancos). Portanto, é essencial tomar precauções rigorosas de segurança. Abaixo estão as estratégias principais para proteger seus ativos de cripto.

1. Escolha Métodos de Armazenamento Seguros

Armazenamento a frio:

• Use carteiras de hardware (como Ledger, Trezor) ou carteiras de papel para armazenar a maioria dos ativos offline, longe de ataques baseados na internet.
• Nota: Manuseie cuidadosamente as carteiras de hardware para evitar danos físicos ou perdas. Verifique sempre as transações cuidadosamente antes de assinar, nunca confirme às cegas.

Carteiras quentes:

• Usar apenas para armazenar pequenas quantidades destinadas a transações diárias. Evitar armazenar grandes quantias.
• Escolha carteiras respeitáveis (por exemplo, MetaMask, Trust Wallet) e mantenha o software atualizado regularmente.

Fonte: https://metamask.io/

2. Proteja as suas chaves privadas e frases-semente

• Nunca Partilhe: A sua chave privada ou frase semente é o único credencial para aceder aos seus ativos — nunca a partilhe com ninguém.
• Backup Seguro: Anote a sua frase-semente e guarde-a num local à prova de fogo e água (por exemplo, um cofre). Evite guardá-la em dispositivos ligados à internet.
• Divisão de Armazenamento: Considere dividir a frase-semente em partes e armazenar cada uma em locais diferentes para aumentar a segurança.

3. Segurança da Conta e da Bolsa

• Ativar Autenticação de Dois Fatores (2FA): Utilize apps como o Google Authenticator em vez de 2FA baseado em SMS, que é vulnerável a sequestros. \
  Google Authenticator na Play Store
• Palavras-passe seguras: Utilize uma palavra-passe com pelo menos 12 caracteres, incluindo maiúsculas, minúsculas, números e símbolos. Altere as palavras-passe regularmente.
• Diversificar Armazenamento: Não armazene toda a sua cripto numa única carteira ou exchange.
• Escolha Trocas Seguras: Opte por plataformas com recursos como proteção contra DDoS e armazenamento a frio e retire rapidamente fundos grandes para carteiras privadas.
• Desativar Acesso API Desnecessário: Prevenir roubo através de exploits de API.
• Utilize Passkeys: Autentique-se de forma segura com aprovação baseada no dispositivo em vez de senhas.

Fonte: play.google.com

4. Prevenir Ataques Cibernéticos

• Cuidado com a Pesca: Verifique sempre duas vezes os URLs dos sites e evite clicar em emails, mensagens ou links de redes sociais desconhecidos.
• Dispositivo Dedicado: Considere usar um dispositivo separado exclusivamente para transações de cripto para evitar exposição a malware ou sites arriscados.
• Verificar Endereços de Transferência: Verifique o endereço antes de enviar fundos para evitar sequestro de área de transferência. \
  Origem: Kratikal sobre Sequestro de Área de Transferência
• Evite Wi-Fi Público: Use uma VPN e evite fazer transações em redes não seguras.

Origem: https://kratikal.com/blog/clipboard-hijacking-can-turn-your-copied-text-into-a-threat/

5. Segurança de Contratos Inteligentes e DeFi

• Use apenas contratos inteligentes confiáveis: envolva-se apenas com contratos auditados por empresas de segurança conhecidas.
  Principais Auditores de Blockchain pela AlchemyTestar com Pequenas Quantias: Comece com uma pequena transação de teste antes de comprometer fundos significativos.
• Evite Golpes de Alto Rendimento: Tenha cuidado com projetos DeFi, NFT ou de agricultura de rendimento que prometem retornos incomumente altos.

Origem: https://www.alchemy.com/best/blockchain-auditing-companies

6. Estratégia de Segurança a Longo Prazo e Planeamento de Emergência

• Usar Carteiras Multisig: Exigir múltiplas aprovações para autorizar transações—ideal para gerir ativos de alto valor.
• Auditorias regulares: rever periodicamente os saldos de ativos e históricos de transações em busca de quaisquer anomalias.
• Planeamento Legal & Patrimonial: Inclua as suas participações em criptoativos no seu plano de herança ou na documentação do seu trust para evitar perdas irreversíveis devido a chaves perdidas.
• Mantenha-se discreto: não ostente sua riqueza cripto nas redes sociais ou fóruns públicos para evitar se tornar um alvo hacker.

Origem: coindesk.com

Conclusão

Este incidente não só resultou em perdas financeiras significativas para a Bybit, mas também levantou preocupações mais amplas sobre a confiança e segurança dentro da indústria de cripto. Olhando para o futuro, as bolsas, as equipas de projeto e os utilizadores devem dar uma ênfase mais forte às práticas de segurança robustas. As áreas-chave de foco devem incluir a gestão de chaves privadas, a implementação de carteiras de multi-assinatura e auditorias rigorosas de contratos inteligentes.

À medida que as ameaças cibernéticas se tornam mais sofisticadas, espera-se que os organismos reguladores globais introduzam requisitos de segurança mais rigorosos. A Financial Action Task Force (FATF), por exemplo, está a avançar com novas propostas de combate à lavagem de dinheiro que visam os protocolos cross-chain para reforçar a supervisão das plataformas descentralizadas e das interações multi-chain. Paralelamente, agências como a SEC dos EUA e reguladores europeus podem aumentar a escrutínio dos padrões de segurança das exchanges e advogar por medidas mais rigorosas de conformidade com KYC e AML.

Para investidores individuais, proteger ativos digitais requer uma abordagem proativa. Isso inclui escolher plataformas com registros de segurança sólidos, diversificar os métodos de armazenamento de ativos e manter-se informado sobre riscos emergentes. À medida que o ecossistema cripto continua a evoluir, a segurança deve permanecer uma prioridade central para garantir crescimento sustentável e confiança do usuário.