Hack da Bybit: Como US$ 1,5 Bilhão em ETH Foi Roubado e Como Se Proteger

1. O Que Aconteceu

No dia 21 de fevereiro de 2025, a Bybit — uma das maiores exchanges de criptomoedas do mundo, sediada em Dubai — executou o que parecia ser uma transferência rotineira de sua cold wallet Ethereum para uma warm wallet. A operação era protegida por um sistema de carteira multisig (múltiplas assinaturas) que exigia a aprovação de pelo menos 3 signatários internos.

Porém, o que os signatários viram em suas telas não era o que realmente estava sendo assinado. O resultado: 401.347 ETH — cerca de US$ 1,5 bilhão — foram transferidos para endereços controlados pelos atacantes.

2. Como o Ataque Funcionou — Análise Técnica

O hack da Bybit não foi um ataque simples de força bruta ou exploração direta de smart contract. Foi um ataque de supply chain extremamente sofisticado que comprometeu a interface visual usada pelos signatários, sem tocar diretamente na criptografia da carteira.

Passo 1: Comprometimento do desenvolvedor

Os hackers identificaram e comprometeram a máquina de um desenvolvedor da Safe{Wallet} (anteriormente Gnosis Safe), a plataforma de carteira multisig usada pela Bybit. O ataque foi feito por engenharia social, um vetor clássico do Lazarus Group. Com acesso ao computador do desenvolvedor, os atacantes roubaram tokens de sessão AWS, que permitiram acessar a infraestrutura de hospedagem da Safe{Wallet}.

Passo 2: Injeção de código malicioso

Com acesso à infraestrutura AWS da Safe{Wallet}, os atacantes injetaram código JavaScript malicioso na interface web utilizada especificamente pela Bybit. O código foi cuidadosamente construído para:

• Funcionar normalmente para todos os outros clientes da Safe{Wallet}
• Ativar-se exclusivamente quando a Bybit executasse uma transação da cold wallet
• Alterar o destino real da transação enquanto mantinha a interface visual intacta para os signatários

Passo 3: Manipulação da transação

Quando a Bybit iniciou a transferência rotineira de ETH da cold wallet para a warm wallet, os signatários viram em suas telas uma transação aparentemente normal — endereço de destino correto, valor correto. Na realidade, o JavaScript malicioso havia alterado os dados da transação subjacente, incluindo a mudança do tipo de operação de call para delegatecall e o redirecionamento para um contrato malicioso que deu aos atacantes controle total sobre a carteira.

Passo 4: Execução do roubo

Após os 3 signatários aprovarem a transação (acreditando que era legítima), o contrato malicioso substituiu a lógica da carteira multisig, transferindo 401.347 ETH para endereços controlados pelos atacantes. O processo inteiro aconteceu em minutos.

3. Cronologia dos Eventos

4. Quem é o Lazarus Group

O Lazarus Group não é um grupo hacker convencional — é uma operação de cibercrime estatal da Coreia do Norte. Segundo analistas de segurança, o Lazarus Group é o governo norte-coreano, e o governo norte-coreano é o Lazarus Group. Os fundos roubados financiam diretamente o programa militar e nuclear do regime.

Histórico de roubos atribuídos ao grupo:

O hack da Bybit sozinho superou todo o valor roubado pela Coreia do Norte ao longo de 2024, em um único ataque.

5. Como os Fundos Foram Lavados

Imediatamente após o roubo, os atacantes iniciaram um processo sofisticado de lavagem para dificultar o rastreamento:

1. Dispersão — os ETH foram divididos e movidos para centenas de carteiras intermediárias
2. Conversão — grande parte foi convertida em BTC usando exchanges descentralizadas (DEXs) e o protocolo THORChain, que permite swaps cross-chain sem KYC
3. Fragmentação — os BTC resultantes foram distribuídos por 6.954 carteiras, com uma média de 1,71 BTC cada
4. Pontes cross-chain — ativos foram movidos entre diferentes blockchains para dificultar rastreamento

Segundo relatório do CEO da Bybit, Ben Zhou, em março de 2025: 77% dos fundos permaneciam rastreáveis, 20% haviam se tornado intratáveis e 3% foram congelados por exchanges e parceiros da indústria.

6. Resposta da Bybit

A resposta da Bybit ao incidente foi amplamente elogiada pela indústria pela velocidade e transparência:

• 📢 Comunicação em 30 minutos — o CEO Ben Zhou se pronunciou publicamente antes mesmo de qualquer confirmação oficial, com transmissão ao vivo
• 💰 Cobertura total de perdas — a Bybit garantiu que todos os clientes seriam ressarcidos, independentemente da recuperação dos fundos
• 📊 Proof of Reserves em 3 dias — auditoria de reservas concluída em 24 de fevereiro, confirmando solvência
• 🏆 Programa de recompensas — até 10% dos fundos recuperados oferecidos a quem ajudar na identificação e congelamento dos ativos
• 🤝 Colaboração com a indústria — parcerias com Chainalysis, exchanges cooperantes e agências de lei para rastrear e congelar fundos

7. Impacto no Mercado

O hack teve consequências significativas para o mercado como um todo:

• 📉 Ethereum (ETH) caiu aproximadamente 24% nos dias seguintes ao ataque
• 📉 Bitcoin (BTC) caiu abaixo de US$ 90.000, atingindo o menor valor desde novembro de 2024
• 📉 Volume de negociação em exchanges centralizadas diminuiu temporariamente, com migração de usuários para soluções de autocustódia
• 🏛️ Reguladores intensificaram discussões sobre requisitos de segurança cibernética para exchanges

8. Lições para o Mercado Cripto

O hack da Bybit expôs vulnerabilidades que vão além de uma única exchange. As lições são universais:

Multisig não é infalível

Carteiras multisig são projetadas para adicionar segurança com múltiplas aprovações. Porém, se a interface usada para assinar é comprometida, todos os signatários aprovam a mesma transação fraudulenta acreditando que é legítima. A segurança é tão forte quanto o elo mais fraco — e neste caso, o elo mais fraco era o software de terceiros.

Ataques de supply chain são a nova fronteira

Em vez de atacar a Bybit diretamente, os hackers comprometeram um fornecedor de software (Safe{Wallet}). Esse tipo de ataque — chamado de supply chain attack — é cada vez mais comum e extremamente difícil de detectar, pois o software malicioso vem de uma fonte aparentemente confiável.

“Not your keys, not your coins” nunca foi tão relevante

Nenhum usuário que mantinha seus ETH em uma hardware wallet pessoal foi afetado. O risco de contrapartida de exchanges — o risco de perder seus fundos porque a exchange foi hackeada, ficou insolvente ou congelou saques — é eliminado completamente com a autocustódia.

9. Como Proteger Seus Ativos

Com base nas vulnerabilidades expostas pelo hack da Bybit, estas são as medidas mais eficazes para proteger suas criptomoedas:

1. Use hardware wallet para autocustódia
   Mantenha a maior parte dos seus ativos em uma hardware wallet como Trezor, Ledger ou SecuX. Suas chaves privadas ficam offline, protegidas pelo chip Secure Element, fora do alcance de hackers.
2. Mantenha na exchange apenas o necessário
   Deixe em exchanges apenas o que você precisa para negociações ativas. Após comprar, transfira para sua hardware wallet. Quanto menos tempo e volume na exchange, menor o risco.
3. Use chave de segurança FIDO2 na exchange
   Proteja seu login na exchange com uma chave de segurança física como a PUFido Clife Key ou YubiKey. Isso torna impossível o acesso à conta sem a chave física, mesmo que sua senha e e-mail sejam comprometidos.
4. Verifique endereços na tela da hardware wallet
   Antes de confirmar qualquer transação, verifique o endereço de destino na tela do dispositivo, não na tela do computador ou celular. Esse recurso (chamado “clear signing”) é exatamente o que impede ataques como o da Bybit, onde a interface foi manipulada.
5. Proteja sua seed phrase com placa de aço
   Sua frase de recuperação é a última linha de defesa. Não a armazene em fotos, e-mails ou apps. Use uma solução de backup em aço como a KriptoSteel, resistente a fogo e água.
6. Use e-mail dedicado e senhas únicas
   Crie um e-mail exclusivo para exchanges de criptomoedas, protegido com chave de segurança FIDO2. Nunca reutilize senhas. Use um gerenciador de senhas.

10. Por Que a Autocustódia com Hardware Wallet é Essencial

O hack da Bybit é mais um caso que reforça uma verdade fundamental do mundo cripto: se as chaves não são suas, as moedas não são suas.

Quando você mantém criptomoedas em uma exchange, você não possui os ativos — você possui uma promessa da exchange de que poderá sacá-los quando quiser. Se a exchange for hackeada (Bybit, Mt. Gox), ficar insolvente (FTX) ou congelar saques, você perde o acesso.

Com uma hardware wallet, a situação é fundamentalmente diferente:

• 🔐 Suas chaves privadas ficam offline, dentro de um chip seguro (Secure Element)
• 📱 Cada transação precisa ser confirmada fisicamente na tela do dispositivo
• 🛡️ Nenhum hack remoto pode acessar seus fundos — é necessário acesso físico ao dispositivo + conhecimento do PIN
• 🔄 Sua seed phrase permite recuperar seus fundos em qualquer dispositivo compatível, a qualquer momento

11. Perguntas Frequentes

12. Proteja-se: Hardware Wallets e Chaves de Segurança

A KriptoBR é a maior e mais antiga revendedora de hardware wallets do mundo, com mais de 80 mil atendimentos desde 2017. Proteja seus ativos com autocustódia e suas contas com chaves de segurança:

Hardware Wallets (autocustódia)

• 📱 Trezor — Safe 3, Safe 5, Safe 7 — open-source, chip TROPIC01
• 📱 Ledger — Nano S Plus, Flex, Stax — Secure Element EAL6+
• 📱 SecuX V20 / W20 — tela touchscreen, Bluetooth, EAL5+

Chaves de Segurança (proteção de login)

• 🔐 PUFido Clife Key — FIDO2 com tecnologia PUF, inclonável
• 🔐 YubiKey — FIDO2, NFC, USB-A/C

Envio de São Paulo para todo o Brasil: entrega expressa (até 3 horas), retirada presencial, principais transportadoras + Super Premium DHL. Até 6x sem juros ou 18x com juros. Digite seu CEP na página do produto para prazos e valores.