Saltar para o conteúdo principal

O Acerto de Contas da Segurança DeFi: O que o Assalto de US$ 1,5 Bilhão à Bybit Revela Sobre Vulnerabilidades de Pontes Cross-Chain

· 11 min de leitura
Dora Noda
Dora Noda
Software Engineer

Um único laptop comprometido. Dezessete dias de paciência. Uma injeção maliciosa de JavaScript. Isso foi tudo o que o Grupo Lazarus da Coreia do Norte precisou para executar o maior roubo de criptomoedas da história — $ 1,5 bilhão drenado da Bybit em fevereiro de 2025, representando 44% de todas as criptomoedas roubadas naquele ano.

O hack da Bybit não foi uma falha de criptografia ou da tecnologia blockchain. Foi uma falha operacional que expôs a frágil camada humana sob as garantias matemáticas de segurança do DeFi. Enquanto a indústria enfrenta um total de $ 3,4 bilhões em roubos em 2025, a questão não é se outra violação catastrófica ocorrerá — é se os protocolos implementarão as mudanças necessárias para sobreviver a ela.

A Anatomia de um Comprometimento de $ 1,5 Bilhão

Compreender o hack da Bybit exige examinar como os invasores contornaram todas as medidas de segurança sem quebrar um único selo criptográfico.

De acordo com a análise técnica do NCC Group, o ataque começou em 4 de fevereiro de 2025, quando a estação de trabalho MacOS de um desenvolvedor da Safe{Wallet} foi comprometida por meio de engenharia social. Os invasores então passaram mais de duas semanas estudando os padrões de transação e a infraestrutura da Bybit.

Em 19 de fevereiro, os invasores substituíram um arquivo JavaScript benigno no armazenamento AWS S3 da Safe{Wallet} por um código malicioso direcionado especificamente à carteira fria (cold wallet) de Ethereum da Bybit. A modificação foi cirurgicamente precisa — todo o aplicativo funcionava normalmente, exceto quando a Bybit iniciava uma transação.

Quando a equipe da Bybit executou o que parecia ser uma transferência de rotina da carteira fria para a carteira quente (hot wallet) em 21 de fevereiro, o código malicioso foi ativado. Os signatários aprovaram o que acreditavam ser uma transação legítima, mas o código subjacente redirecionou aproximadamente 401.000 ETH para endereços controlados pelos invasores.

O FBI confirmou a responsabilidade da Coreia do Norte em poucos dias, atribuindo o ataque ao TraderTraitor — o mesmo ator de ameaça por trás de anos de roubos bilionários.

O Mito da Multisig: Por Que Múltiplas Assinaturas Não Importaram

O hack da Bybit demoliu uma suposição perigosa: a de que as carteiras multisig oferecem proteção inerente contra invasores sofisticados.

Como concluiu a análise da Certora: "Isto não foi uma falha de multisig, mas sim operacional: as chaves não foram roubadas e os signatários foram enganados".

Os invasores entenderam que a segurança criptográfica não significa nada se os signatários puderem ser enganados para aprovar transações maliciosas. Ao comprometer a camada de UI, eles criaram transações de aparência legítima que ocultavam transferências de fundos para endereços hostis. As chaves extras não importaram porque cada signatário viu a mesma informação manipulada.

Isso representa uma mudança fundamental na metodologia de ataque. Em vez de tentar roubar chaves privadas — o que a segurança de hardware torna cada vez mais difícil — invasores sofisticados visam a camada de verificação humana. Se você puder controlar o que os signatários veem, você controla o que eles assinam.

Pontes Cross-Chain: A Vulnerabilidade de $ 55 Bilhões do DeFi

O hack da Bybit iluminou vulnerabilidades mais amplas na infraestrutura cross-chain. De acordo com a Chainalysis, explorações em pontes (bridges) cross-chain resultaram em mais de $ 1,5 bilhão em fundos roubados até meados de 2025, tornando as pontes o principal fator de risco de interoperabilidade em todo o ecossistema DeFi.

Com $ 55 bilhões em valor total bloqueado (TVL) em pontes, a superfície de ataque é enorme. A pesquisa da Chainlink identifica sete categorias críticas de vulnerabilidade:

Tomada de Controle de Validador: Muitas pontes operam usando pequenos conjuntos de validadores ou configurações limitadas de multisig. O hack da Ronin Bridge demonstrou esse risco quando os invasores comprometeram cinco de nove chaves de validadores, permitindo um roubo de $ 625 milhões.

Vulnerabilidades de Contratos Inteligentes: A exploração da Wormhole em fevereiro de 2022 viu invasores contornarem a verificação injetando contas falsas, cunhando 120.000 wETH sem autorização.

Comprometimento de Chave Privada: A exploração da Force Bridge em maio-junho de 2025 resultou de uma única chave comprometida que concedeu controle não autorizado ao validador, permitindo uma drenagem de $ 3,6 milhões.

Manipulação de Oráculo: Invasores adulteram feeds de dados externos, respondendo por 13% das explorações de DeFi em 2025.

Ataques de Supply Chain: O hack da Bybit demonstrou que comprometer dependências upstream pode contornar todas as medidas de segurança downstream.

A Máquina de Lavagem de 48 Horas

A velocidade da lavagem de dinheiro pós-roubo atingiu uma eficiência industrial. O TRM Labs relatou que, em 48 horas após o hack da Bybit, pelo menos $ 160 milhões já haviam sido processados por canais ilícitos. Até 26 de fevereiro, mais de $ 400 milhões haviam sido movimentados.

A metodologia de lavagem tornou-se padronizada:

  1. Dispersão Imediata: Fundos roubados divididos em centenas de carteiras intermediárias.
  2. Salto Cross-Chain (Cross-Chain Hopping): Ativos movidos entre blockchains usando THORChain, Chainflip e outras pontes.
  3. Troca em DEX (DEX Swapping): Ethereum convertido para Bitcoin, DAI e stablecoins.
  4. Integração de Mixers: Tornado Cash e serviços similares ocultam as trilhas das transações.
  5. Saída via OTC (OTC Cash-Out): USDT baseado na rede Tron preparado para conversão através de redes OTC chinesas.

Em 20 de março de 2025, o CEO da Bybit, Ben Zhou, confirmou que 86,29% do ETH roubado havia sido convertido em BTC — demonstrando a capacidade da infraestrutura de lavagem de processar bilhões em poucas semanas.

Vulnerabilidades de Smart Contracts: A Realidade Estatística

Além dos ataques à cadeia de suprimentos (supply chain), as falhas em smart contracts continuam sendo a principal vulnerabilidade técnica. De acordo com o Relatório dos 100 Maiores Hacks de DeFi de 2025 da Halborn:

  • 67 % das perdas em DeFi em 2025 resultaram de falhas em smart contracts
  • $ 630 milhões perdidos para smart contracts não verificados
  • $ 325 milhões roubados através de bugs de reentrância
  • 34,6 % das explorações de contratos resultaram de validação de entrada defeituosa
  • 13 % dos ataques envolveram manipulação de oráculos

A tendência mais preocupante: as vulnerabilidades off-chain agora representam uma parcela crescente das perdas a cada ano. À medida que a segurança on-chain melhora, os invasores visam cada vez mais a infraestrutura que envolve os smart contracts, em vez dos próprios contratos.

O Que os Protocolos Devem Corrigir Antes do Próximo Ataque

O cenário de segurança de 2025 revela prescrições claras para a sobrevivência dos protocolos. Com base nas melhores práticas da indústria e em análises pós-mortem, os protocolos devem abordar várias camadas simultaneamente.

Assinatura Forçada por Hardware

A assinatura de transações baseada em software — mesmo através de arranjos multisig — provou-se insuficiente contra ataques de manipulação de interface de usuário (UI). As melhores práticas de multisig da Polygon recomendam:

  • Carteiras de hardware obrigatórias para todos os signatários de alto valor
  • Dispositivos de assinatura offline que mitiguem vetores de ataque online
  • Distribuição geográfica das chaves de assinatura para evitar o comprometimento de um único local
  • Monitoramento em tempo real com alertas para padrões de assinatura suspeitos

Simulação de Transação Antes da Execução

Os signatários da Bybit aprovaram transações sem entender seus efeitos reais. Os protocolos devem implementar camadas de simulação obrigatórias que:

  • Exibam os movimentos reais de fundos antes da assinatura
  • Comparem os efeitos da transação com as intenções declaradas
  • Sinalizem discrepâncias entre as descrições da UI e os resultados on-chain
  • Exijam confirmação explícita dos endereços de destino

Verificação da Cadeia de Suprimentos

O comprometimento do Safe{Wallet} demonstrou que as dependências upstream criam superfícies de ataque. Os protocolos devem:

  • Implementar builds assinados e lançamentos reproduzíveis
  • Implantar verificação de integridade de conteúdo para todos os scripts carregados
  • Manter monitoramento contínuo de mudanças em dependências
  • Usar hashes de integridade de sub-recursos (SRI) para JavaScript crítico

Limites de Velocidade e Atrasos Temporais

A capacidade de drenar $ 1,5 bilhão em uma única transação representa uma falha fundamental de design. Os padrões de custódia institucional agora recomendam:

  • Limiares de aprovação em níveis: 2 - de - 3 para transações pequenas, 5 - de - 7 com atrasos obrigatórios para transferências grandes
  • Limites de retirada diários aplicados no nível do contrato
  • Períodos de reflexão (cooling-off) para transações que excedam os valores limite
  • Disjuntores (circuit breakers) que pausam as operações quando ocorrem anomalias

Programas de Bug Bounty e Auditoria Contínua

A auditoria de smart contracts evoluiu de eventos únicos para processos contínuos. O novo padrão inclui:

  • Auditoria assistida por IA que varre padrões em explorações históricas
  • Programas ativos de bug bounty que convidam a revisões de segurança contínuas
  • Múltiplas empresas de auditoria para eliminar pontos cegos de um único auditor
  • Monitoramento pós-implantação para comportamento anômalo de contratos

Os custos de auditoria refletem essa complexidade: contratos simples custam 10.00010.000 – 25.000, enquanto protocolos complexos com componentes cross-chain podem exceder 100.000100.000 – 250.000.

O Modelo do Protocolo Venus: Detecção em Ação

Nem todo incidente de segurança de 2025 terminou em catástrofe. O incidente do Protocolo Venus em setembro de 2025 demonstra como o monitoramento proativo pode prevenir perdas:

  • A plataforma de segurança Hexagate detectou atividade suspeita 18 horas antes do ataque planejado
  • O Venus pausou imediatamente as operações
  • Os fundos foram recuperados em poucas horas
  • Um voto de governança congelou $ 3 milhões que o invasor havia movido

Este incidente prova que o monitoramento em tempo real e as capacidades de resposta rápida podem transformar desastres potenciais em incidentes gerenciáveis. A questão é se os protocolos investirão em infraestrutura de detecção antes de serem forçados por uma perda catastrófica.

A Ameaça da Coreia do Norte: Regras Diferentes se Aplicam

Compreender o cenário de ameaças exige reconhecer que os atores norte-coreanos operam de forma diferente dos cibercriminosos típicos.

De acordo com a Chainalysis, atores vinculados à RPDC já roubaram um total acumulado de 6,75bilho~esemcriptomoedas.Seulucroem2025,de6,75 bilhões em criptomoedas. Seu lucro em 2025, de 2,02 bilhões, representou um aumento de 51 % em relação ao ano anterior, apesar de terem realizado menos ataques totais.

O Wilson Center observa que "o Grupo Lazarus não é patrocinado pelo Estado da maneira tradicional que pensamos sobre grupos patrocinados por Estados. O Grupo Lazarus é a Coreia do Norte e a Coreia do Norte é o Grupo Lazarus."

Essa distinção é importante porque:

  • Os recursos são ilimitados: O apoio estatal fornece financiamento sustentado para operações de reconhecimento de vários meses
  • As consequências não detêm: As sanções internacionais não afetam hackers que já estão em um regime isolado
  • Os rendimentos financiam programas de armas: Criptomoedas roubadas financiam diretamente o desenvolvimento de mísseis balísticos
  • Os métodos continuam evoluindo: Cada roubo bem-sucedido financia pesquisas em novos vetores de ataque

A indústria deve reconhecer que a defesa contra hackers norte-coreanos exige um pensamento de segurança de nível estatal, não apenas orçamentos de segurança de nível de startup.

A Estrada para 2026: Segurança ou Extinção

Os $ 3,4 bilhões roubados em 2025 representam mais do que uma perda financeira — eles ameaçam a legitimidade de todo o ecossistema DeFi. A adoção institucional depende de garantias de segurança que a infraestrutura atual não consegue fornecer.

A Chainalysis alerta: "O desafio para 2026 será detectar e prevenir essas operações de alto impacto antes que os atores da RPDC inflijam outro incidente na escala da Bybit."

Os protocolos enfrentam uma escolha binária: implementar medidas de segurança proporcionais à ameaça ou aceitar que a próxima brecha catastrófica é uma questão de quando, não de se.

A tecnologia para uma segurança melhor existe. Assinatura de hardware, simulação de transações, verificação da cadeia de suprimentos e monitoramento em tempo real são todos implementáveis hoje. A questão é se a indústria investirá em prevenção ou continuará pagando pela recuperação.

Para protocolos que levam a sobrevivência a sério, o hack da Bybit deve servir como o aviso final. Os invasores demonstraram paciência, sofisticação e capacidade de lavagem em escala industrial. A única resposta adequada é uma infraestrutura de segurança que presuma que as tentativas de violação continuarão — e garanta que elas não tenham sucesso.

Construir aplicações Web3 seguras requer infraestrutura projetada para confiabilidade de nível empresarial. O BlockEden.xyz fornece endpoints RPC testados em batalha com monitoramento integrado e detecção de anomalias em várias redes. Explore nosso API Marketplace para construir sobre fundamentos que priorizam a segurança.

Share on Twitter