Saltar para o conteúdo principal

Por dentro do assalto de US$ 1,5 bilhão à Bybit: como a Coreia do Norte realizou o maior roubo de criptomoedas da história

· 12 min de leitura
Dora Noda
Dora Noda
Software Engineer

Em 21 de fevereiro de 2025, hackers norte-coreanos roubaram $ 1,5 bilhão em criptomoeda da exchange sediada em Dubai, Bybit, em aproximadamente 30 minutos. Não foi apenas o maior roubo de cripto da história — se a Bybit fosse um banco, ele seria classificado como o maior assalto a banco já registrado pelo Guinness World Records.

O ataque não explorou uma falha de contrato inteligente ou forçou uma chave privada por força bruta. Em vez disso, os hackers comprometeram o laptop de um único desenvolvedor em um provedor de carteira terceirizado, esperaram pacientemente por semanas e atacaram quando os funcionários da Bybit estavam aprovando o que parecia ser uma transferência interna de rotina. No momento em que alguém percebeu que algo estava errado, 500.000 ETH haviam desaparecido em um labirinto de carteiras controladas pelo Lazarus Group da Coreia do Norte.

Esta é a história de como isso aconteceu, por que é importante e o que revela sobre o estado da segurança cripto em 2025.

O Ataque: Uma Aula de Paciência e Precisão

O hack da Bybit não foi um ataque de oportunidade imediato. Foi uma operação cirúrgica que se desenrolou ao longo de semanas.

Fase 1: Comprometendo o Desenvolvedor

Em 4 de fevereiro de 2025, um desenvolvedor da Safe{Wallet} — uma plataforma de carteira multiassinatura amplamente utilizada na qual a Bybit confiava para garantir grandes transferências — baixou o que parecia ser um projeto Docker legítimo chamado "MC-Based-Stock-Invest-Simulator-main". O arquivo provavelmente chegou por meio de um ataque de engenharia social, possivelmente disfarçado de oportunidade de emprego ou ferramenta de investimento.

O contêiner Docker malicioso estabeleceu imediatamente uma conexão com um servidor controlado pelo invasor. A partir daí, os hackers extraíram tokens de sessão da AWS da estação de trabalho do desenvolvedor — as credenciais temporárias que concedem acesso à infraestrutura em nuvem da Safe{Wallet}.

Com esses tokens, os invasores contornaram inteiramente a autenticação multifator. Eles agora tinham as chaves do reino da Safe{Wallet}.

Fase 2: O Código Adormecido

Em vez de agir imediatamente, os invasores injetaram um código JavaScript sutil na interface web da Safe{Wallet}. Esse código foi projetado especificamente para a Bybit — ele permaneceria adormecido até detectar que um funcionário da Bybit havia aberto sua conta Safe e estava prestes a autorizar uma transação.

A sofisticação aqui é notável. Todo o aplicativo Safe{Wallet} funcionava normalmente para todos os outros usuários. Apenas a Bybit foi visada.

Fase 3: O Assalto

Em 21 de fevereiro de 2025, os funcionários da Bybit iniciaram o que deveria ter sido uma transferência de rotina de uma cold wallet (armazenamento offline seguro) para uma warm wallet (para negociação ativa). Isso exigia várias assinaturas de pessoal autorizado — uma prática de segurança padrão chamada multisig.

Quando os signatários abriram a Safe{Wallet} para aprovar a transação, a interface exibia o que parecia ser o endereço de destino correto. Mas o código malicioso já havia trocado o comando por um diferente. Os funcionários, sem saber, aprovaram uma transação que esvaziou toda a cold wallet da Bybit.

Em poucos minutos, 500.000 ETH — no valor de aproximadamente $ 1,5 bilhão — fluíram para endereços controlados pelos invasores.

O Exploit Técnico: Delegatecall

A vulnerabilidade principal foi a função delegatecall do Ethereum, que permite que um contrato inteligente execute o código de outro contrato dentro de seu próprio contexto de armazenamento. Os invasores enganaram os signatários da Bybit para alterar a lógica do contrato de sua carteira para uma versão maliciosa, concedendo efetivamente controle total aos hackers.

Isso não foi um bug no Ethereum ou no protocolo central da Safe{Wallet}. Foi um ataque à camada humana — o momento em que funcionários de confiança verificam e aprovam transações.

Lazarus Group da Coreia do Norte: Os Hackers Mais Lucrativos do Mundo

Em 24 horas após o ataque, o investigador de blockchain ZachXBT enviou evidências à Arkham Intelligence conectando definitivamente o hack ao Lazarus Group da Coreia do Norte. O FBI confirmou essa atribuição em 26 de fevereiro de 2025.

O Lazarus Group — também conhecido como TraderTraitor e APT38 — opera sob o Escritório Geral de Reconhecimento da Coreia do Norte. Não é uma gangue criminosa que busca lucro para enriquecimento pessoal. É uma operação patrocinada pelo Estado cujos rendimentos financiam os programas de armas nucleares e mísseis balísticos da Coreia do Norte.

Os números são impressionantes:

  • Somente em 2025: Hackers norte-coreanos roubaram $ 2,02 bilhões em criptomoeda
  • A fatia da Bybit: $ 1,5 bilhão (74 % do total arrecadado pela Coreia do Norte em 2025 em um único ataque)
  • Desde 2017: A Coreia do Norte roubou mais de $ 6,75 bilhões em ativos cripto
  • 2025 vs 2024: Aumento de 51 % em relação ao ano anterior no valor roubado

A Coreia do Norte foi responsável por 59 % de todas as criptomoedas roubadas globalmente em 2025 e 76 % de todos os comprometimentos de exchanges. Nenhum outro ator de ameaça chega perto.

A Industrialização do Roubo de Cripto

O que torna a Coreia do Norte diferente não é apenas a escala — é a sofisticação de sua operação.

Engenharia Social sobre Exploits Técnicos

A maioria dos grandes hacks de 2025 foi perpetrada por meio de engenharia social, em vez de vulnerabilidades técnicas. Isso representa uma mudança fundamental. Os hackers não estão mais caçando prioritariamente bugs de contratos inteligentes ou fraquezas criptográficas. Eles estão visando pessoas.

Operativos do Lazarus Group se infiltraram como trabalhadores de TI dentro de empresas de cripto. Eles se passaram por executivos. Eles enviaram ofertas de emprego contendo malware para desenvolvedores. O ataque à Bybit começou com um desenvolvedor baixando um simulador de negociação de ações falso — um vetor clássico de engenharia social.

A Lavanderia Chinesa

Roubar cripto é apenas metade do desafio. Convertê-las em fundos utilizáveis sem ser pego é igualmente complexo.

Em vez de sacar diretamente, a Coreia do Norte terceirizou a lavagem de dinheiro para o que os investigadores chamam de "Lavanderia Chinesa" — uma vasta rede de banqueiros clandestinos, corretores OTC e intermediários de lavagem baseada em comércio. Esses atores lavam ativos roubados entre diferentes chains, jurisdições e canais de pagamento.

Até 20 de março de 2025 — menos de um mês após o hack da Bybit — o CEO Ben Zhou informou que os hackers já haviam convertido 86,29 % do ETH roubado em Bitcoin por meio de várias carteiras intermediárias, exchanges descentralizadas e pontes cross-chain. O ciclo de lavagem de 45 dias após grandes roubos tornou-se um padrão previsível.

Apesar desses esforços, Zhou observou que 88,87 % dos ativos roubados permaneciam rastreáveis. Mas "rastreável" não significa "recuperável". Os fundos fluem através de jurisdições sem relação de cooperação com as autoridades policiais dos EUA ou internacionais.

Resposta da Bybit : Gestão de Crise sob Fogo Cruzado

Dentro de 30 minutos após a descoberta da violação, o CEO Ben Zhou assumiu o comando e começou a fornecer atualizações em tempo real no X (antigo Twitter). Sua mensagem foi direta : "A Bybit é solvente, mesmo que esta perda por hack não seja recuperada ; todos os ativos dos clientes são lastreados 1 para 1, podemos cobrir a perda."

A exchange processou mais de 350.000 solicitações de saque em 12 horas — um sinal para os usuários de que, apesar da perda catastrófica, as operações continuariam normalmente.

Financiamento de Emergência

Em 72 horas, a Bybit recompôs suas reservas ao garantir 447.000 ETH por meio de financiamento de emergência de parceiros, incluindo Galaxy Digital, FalconX e Wintermute. A Bitget emprestou 40.000 ETH para garantir que os saques continuassem ininterruptos — um empréstimo que a Bybit pagou em três dias.

A empresa de cibersegurança Hacken realizou uma auditoria de prova de reservas confirmando que os principais ativos da Bybit estavam lastreados por mais de 100 % de colateral. A transparência foi sem precedentes para uma crise desta magnitude.

O Programa de Bounty

Zhou declarou "guerra contra Lazarus" e lançou um programa global de bounty oferecendo recompensas de até 10 % por informações que levassem ao congelamento de ativos. Até o final do ano, a Bybit pagou $ 2,18 milhões em USDT para colaboradores que ajudaram a rastrear ou recuperar fundos.

O Veredito do Mercado

Ao final de 2025, a Bybit havia ultrapassado 80 milhões de usuários globalmente, registrou $ 7,1 bilhões em volume diário de negociação e classificou-se em 5º lugar entre as exchanges de criptomoedas spot. A resposta à crise tornou-se um estudo de caso sobre como sobreviver a um hack catastrófico.

2025 : O Ano em que o Roubo de Cripto Atingiu $ 3,4 Bilhões

O hack da Bybit dominou as manchetes, mas fazia parte de um padrão mais amplo. O total de roubos de criptomoedas atingiu $ 3,4 bilhões em 2025 — um novo recorde e o terceiro ano consecutivo de aumentos.

Estatísticas principais :

  • 2023 : $ 2 bilhões roubados
  • 2024 : $ 2,2 bilhões roubados
  • 2025 : $ 3,4 bilhões roubados

A participação da Coreia do Norte cresceu de aproximadamente metade para quase 60 % de todos os roubos de cripto. A RPDC realizou roubos maiores com menos incidentes, demonstrando aumento de eficiência e sofisticação.

Lições Aprendidas : Onde a Segurança Falhou

O hack da Bybit expôs vulnerabilidades críticas que se estendem muito além de uma única exchange.

O Risco de Terceiros é Existencial

A Bybit não teve uma falha de segurança. A Safe{Wallet} teve. Mas a Bybit sofreu as consequências.

A indústria cripto construiu cadeias de dependência complexas onde as exchanges dependem de provedores de carteiras, os provedores de carteiras dependem de infraestrutura em nuvem e a infraestrutura em nuvem depende de estações de trabalho de desenvolvedores individuais. Um comprometimento em qualquer lugar desta cadeia pode gerar uma cascata catastrófica.

O Armazenamento a Frio Não é Suficiente

A indústria há muito trata as cold wallets como o padrão ouro de segurança. Mas os fundos da Bybit estavam em armazenamento a frio quando foram roubados. A vulnerabilidade estava no processo de movê-los — a etapa de aprovação humana que a multissig foi projetada para proteger.

Quando as transferências se tornam rotineiras, os signatários desenvolvem uma falsa sensação de segurança, tratando as aprovações como formalidades em vez de decisões críticas de segurança. O ataque à Bybit explorou exatamente esse padrão comportamental.

A UI é um Ponto Único de Falha

A segurança multissig pressupõe que os signatários podem verificar o que estão aprovando. Mas se a interface que exibe os detalhes da transação estiver comprometida, a verificação torna-se sem sentido. Os atacantes mostraram uma coisa aos signatários enquanto executavam outra.

Simulações de pré-assinatura — permitindo que os funcionários visualizem o destino real de uma transação antes da aprovação — poderiam ter evitado este ataque. Assim como atrasos para saques de grande valor, permitindo tempo para revisão adicional.

A Engenharia Social Vence a Segurança Técnica

Você pode ter a segurança criptográfica mais sofisticada do mundo, e um único funcionário baixando o arquivo errado pode contornar tudo isso. O ponto fraco na segurança das criptomoedas é cada vez mais humano, não técnico.

Implicações Regulatórias e do Setor

O hack da Bybit já está moldando o cenário regulatório.

Espere requisitos obrigatórios para :

  • Módulos de segurança de hardware (HSMs) para gestão de chaves
  • Monitoramento de transações em tempo real e detecção de anomalias
  • Auditorias de segurança regulares de terceiros
  • Frameworks de AML aprimorados e atrasos em transações para grandes transferências

Segurança e conformidade estão se tornando requisitos básicos para o acesso ao mercado. Projetos que não puderem demonstrar uma gestão de chaves robusta, design de permissões e frameworks de segurança credíveis ficarão isolados de parceiros bancários e usuários institucionais.

O que Isso Significa para o Setor

O hack da Bybit revela uma verdade desconfortável: o modelo de segurança das criptomoedas é tão forte quanto o seu elo operacional mais fraco.

O setor investiu pesadamente em segurança criptográfica — provas de conhecimento zero, assinaturas de limite, enclaves seguros. Mas a criptografia mais sofisticada é irrelevante se um invasor conseguir enganar um humano para aprovar uma transação maliciosa.

Para as exchanges, a mensagem é clara: a inovação em segurança deve se estender além da tecnologia para abranger processos operacionais, gestão de risco de terceiros e treinamento contínuo de funcionários. Auditorias regulares, compartilhamento colaborativo de inteligência de ameaças e planejamento de resposta a incidentes não são mais opcionais.

Para os usuários, a lição é igualmente dura: até mesmo as maiores exchanges com a segurança mais sofisticada podem ser comprometidas. Autocustódia, carteiras de hardware e armazenamento distribuído de ativos continuam sendo as estratégias de longo prazo mais seguras — mesmo que sejam menos convenientes.

Conclusão

O Lazarus Group da Coreia do Norte industrializou o roubo de criptomoedas. Eles roubaram mais de $ 6,75 bilhões desde 2017, com 2025 marcando o seu ano de maior sucesso até agora. O hack da Bybit sozinho — $ 1,5 bilhão em uma única operação — demonstra capacidades que deixariam qualquer agência de inteligência com inveja.

O setor cripto está em uma corrida armamentista com hackers patrocinados por estados que têm paciência ilimitada, capacidades técnicas sofisticadas e nenhum medo de consequências. O ataque à Bybit teve sucesso não por causa de qualquer exploit novo, mas porque os invasores entenderam que os humanos, não o código, são o elo mais fraco.

Até que o setor trate a segurança operacional com o mesmo rigor que aplica à segurança criptográfica, esses ataques continuarão. A questão não é se outro hack de um bilhão de dólares acontecerá — é quando, e se o alvo responderá de forma tão eficaz quanto a Bybit fez.

Este artigo é apenas para fins educacionais e não deve ser considerado aconselhamento financeiro. Sempre realize sua própria pesquisa e priorize a segurança ao interagir com exchanges e carteiras de criptomoedas.

Share on Twitter