O Hack de US$ 1,5 Bilhão da Bybit um Ano Depois: 88 % Rastreáveis, Apenas 3 % Congelados — O Que Deu Errado

Em 21 de fevereiro de 2025, o Lazarus Group da Coreia do Norte executou o maior roubo de criptomoedas da história — $ 1,5 bilhão em Ethereum drenados da cold wallet da Bybit em uma única transação. Um ano depois, os números contam uma história preocupante: embora as empresas de análise de blockchain tenham inicialmente rastreado 88,87 % dos fundos roubados, apenas 3,54 % foram congelados. O restante reside em milhares de carteiras, aguardando.

Esta não é apenas uma história de assalto. É um estudo de caso sobre como uma operação de hacking de um estado-nação superou a infraestrutura de segurança de toda uma indústria, e o que o mundo cripto aprendeu — e falhou em aprender — nos doze meses seguintes.

O Ataque: Uma Brecha Web2 que Quebrou a Maior Carteira Web3

O hack da Bybit não foi um exploit de contrato inteligente. Não foi um ataque de flash loan ou um rug pull. Foi um comprometimento da cadeia de suprimentos (supply chain compromise) que visou a camada humana — a camada exata que as carteiras multisig deveriam proteger.

A Kill Chain

O ataque desenrolou-se ao longo de 17 dias com precisão cirúrgica:

• 4 de fevereiro de 2025: O Lazarus Group comprometeu uma workstation macOS pertencente a um desenvolvedor da Safe{Wallet}, provavelmente por meio de engenharia social — uma tática que o grupo refinou em centenas de operações.
• 19 de fevereiro: Os atacantes modificaram recursos JavaScript hospedados no bucket AWS S3 da Safe{Wallet}. O código injetado continha uma condição de ativação projetada para disparar apenas quando a cold wallet específica da Bybit iniciasse uma transação.
• 21 de fevereiro: A equipe de operações da Bybit iniciou uma transferência rotineira da cold wallet para a warm wallet. A interface da Safe{Wallet} exibiu uma transação de aparência legítima. Mas, por trás da interface, um payload diferente foi enviado para os dispositivos de hardware Ledger dos signatários. Três signatários aprovaram o que acreditavam ser uma transferência padrão, autorizando sem saber uma transação maliciosa que redirecionou 401.347 ETH para carteiras controladas pelos atacantes.
• Dois minutos depois: Os atacantes fizeram o upload de versões limpas dos arquivos JavaScript para o bucket S3, apagando evidências da injeção.

Toda a operação — do gatilho à limpeza — levou menos de dez minutos de execução ativa. A preparação levou semanas. As consequências duraram um ano.

Por que a Multisig Falhou

O hack da Bybit destruiu uma premissa fundamental na segurança cripto: a de que carteiras multisig com signatários de hardware são resistentes a ataques sofisticados. O problema não foi a segurança criptográfica da multisig em si. Foi a camada de UI (interface do usuário) que ficava entre os signatários humanos e a transação que eles estavam aprovando.

A interface da Safe{Wallet} mostrava uma transação. Os dispositivos Ledger recebiam outra. Os signatários não tinham uma maneira prática de verificar os dados brutos da transação em suas carteiras de hardware contra o que a interface web exibia. Esta vulnerabilidade "o que você vê não é o que você assina" (what you see is not what you sign) transformou a infraestrutura de carteira mais confiável da indústria em um vetor de ataque.

A Lavagem: Como o Lazarus Move $ 1,5 Bilhão

Horas após o roubo, o Lazarus Group ativou um roteiro de lavagem refinado ao longo de anos de operações. A velocidade e a sofisticação foram sem precedentes — mas a metodologia era familiar para os investigadores de blockchain.

Fase 1: Conversão e Dispersão

Os hackers começaram imediatamente a converter o ETH roubado em outros ativos. Em 20 de março de 2025, o CEO da Bybit, Ben Zhou, confirmou que 86,29 % do Ether roubado havia sido convertido em Bitcoin. Os fundos foram dispersos por milhares de carteiras intermediárias, criando um enorme grafo de transações projetado para sobrecarregar a investigação manual.

Fase 2: Mixagem e Ofuscação Cross-Chain

Os ativos roubados fluíram através de exchanges descentralizadas, pontes cross-chain e serviços de mixagem. O THORChain — um protocolo de liquidez cross-chain descentralizado — tornou-se um canal primário. A exchange anônima eXch também facilitou trocas, gerando centenas de milhares de dólares em taxas enquanto recusava os pedidos da Bybit para bloquear a atividade.

O uso de infraestrutura descentralizada criou um dilema filosófico e prático para a indústria: protocolos permissionless não podem censurar transações seletivamente sem comprometer sua proposta de valor central. No entanto, permitir que um estado-nação lave $ 1,5 bilhão através do seu protocolo cria um risco regulatório existencial.

Fase 3: O Jogo da Espera

O Lazarus Group historicamente deixa os fundos roubados inativos por meses ou até anos antes de tentar realizar o saque por meio de rampas de saída (off-ramps) para fiduciário. Esta paciência é uma vantagem estratégica. À medida que o tempo passa, as exchanges atualizam seus sistemas de conformidade, a atenção regulatória muda e a comunidade forense de blockchain segue para novos incidentes.

Até abril de 2025, as estatísticas de rastreabilidade haviam se deteriorado significativamente. O número inicial de 88,87 % rastreável caiu para 68,6 %, enquanto a porcentagem de fundos que "desapareceram" saltou de 7,59 % para 27,6 %. Apenas 3,8 % permaneceram congelados — um número marginalmente melhor do que os 3,54 % relatados um mês antes, mas um resultado devastador dada a escala da mobilização da indústria.

A Resposta: 72 Horas Que Testaram uma Exchange

A resposta imediata da Bybit à crise tornou-se um marco para o setor. Em 72 horas após o ataque, a exchange restaurou a funcionalidade completa de saques — um passo crítico para manter a confiança dos usuários durante o que poderia ter sido uma corrida bancária terminal.

Liquidez de Emergência

O momento mais dramático ocorreu quando a CEO da Bitget, Gracy Chen, concedeu um empréstimo de 40.000 ETH (aproximadamente US$ 104 milhões) à Bybit — sem juros, sem garantias. "Tratava-se simplesmente de apoiar um colega em necessidade", disse Chen. A Bybit pagou o empréstimo em três dias.

No total, a Bybit recebeu aproximadamente 446.870 ETH (cerca de US$ 1,23 bilhão) através de uma combinação de empréstimos de emergência, depósitos de baleias e compras diretas de ativos. As reservas da exchange foram efetivamente reconstruídas, garantindo que os fundos dos clientes permanecessem intactos, apesar do roubo.

O Programa de Recompensas (Bounty)

A Bybit lançou o que chamou de programa "LazarusBounty", oferecendo 10 % de quaisquer fundos recuperados — até US$ 140 milhões — para pesquisadores de segurança, caçadores de recompensas e investigadores de blockchain que pudessem ajudar a rastrear ou congelar ativos roubados.

O programa atraiu mais de 5.000 envios, embora apenas 63 tenham sido considerados válidos. Um total de US$ 2,2 milhões foi concedido a 12 caçadores de recompensas. O investigador de cripto ZachXBT ganhou 50.000 tokens ARKM por estar entre os primeiros a vincular definitivamente a exploração ao Grupo Lazarus da Coreia do Norte — uma descoberta que o FBI confirmou oficialmente dias depois.

Reformulação de Segurança

Nos meses seguintes ao ataque, a Bybit implementou mais de 50 atualizações de segurança e passou por mais de 30 auditorias externas. A exchange reconstruiu sua infraestrutura de carteiras, movendo os processos de assinatura para ambientes isolados, adicionando controles mais rigorosos de revisão de código, auditando todas as ferramentas de terceiros e implementando detecção de anomalias em tempo real. Os procedimentos multisig foram redesenhados do zero.

Apesar da violação, a Bybit cresceu de 50 milhões para 80 milhões de usuários registrados até o final de 2025 — um testemunho tanto da gestão de crise da exchange quanto da memória curta do mercado cripto para incidentes de segurança.

O Cenário Amplo: A Máquina de Guerra Cripto da Coreia do Norte

O ataque à Bybit não aconteceu isoladamente. Foi a joia da coroa de uma operação sistemática de roubo de criptomoedas patrocinada pelo estado, que gerou estimados US$ 6,75 bilhões para a Coreia do Norte na última década.

Escala em Ascensão

Os números têm acelerado:

• 2024: O Grupo Lazarus roubou US$ 1,3 bilhão em múltiplas operações
• 2025: O roubo total de cripto atribuído à RPDC atingiu US$2,02 bilhões — um aumento de 51$ 1,5 bilhão desse valor
• Perdas totais do setor em 2025: Excederam US$ 4 bilhões, tornando-o o pior ano registrado para roubos de cripto

O ataque à Bybit representou uma evolução tática. Em vez de visar pontes DeFi ou explorar vulnerabilidades de contratos inteligentes — o ganha-pão anterior do grupo — o Lazarus atacou a cadeia de suprimentos de um provedor de infraestrutura confiável. A superfície de ataque não era a blockchain. Era a Web2: o laptop de um desenvolvedor, um bucket S3 da AWS, um arquivo JavaScript.

Financiando o que Importa

Cada dólar roubado financia os programas nucleares e de mísseis balísticos da Coreia do Norte. O Painel de Especialistas da ONU documentou repetidamente como as operações cibernéticas da RPDC financiam diretamente o desenvolvimento de armas de destruição em massa. O ataque à Bybit sozinho — de US$ 1,5 bilhão — excede o orçamento militar anual estimado da Coreia do Norte.

Esta realidade transforma o que poderia ser apenas uma história de cibersegurança em uma história geopolítica. As falhas de segurança da indústria cripto têm consequências diretas para a não proliferação nuclear global.

O que a Indústria Aprendeu (e o que Não Aprendeu)

O ataque à Bybit catalisou melhorias significativas nas práticas de segurança cripto. Mas, um ano depois, as vulnerabilidades fundamentais que permitiram o ataque permanecem generalizadas em todo o setor.

O que Mudou

Os padrões de verificação multisig melhoraram. Grandes exchanges e provedores de custódia implementaram canais independentes de verificação de transações, reduzindo a dependência de uma única camada de interface de usuário (UI). O conceito de "o que você vê é o que você assina" deixou de ser uma preocupação acadêmica para se tornar uma prioridade operacional.

A conscientização sobre a segurança da cadeia de suprimentos aumentou. A indústria cripto começou a adotar práticas que há muito são padrão na segurança de software tradicional — assinatura de código, verificação de integridade para dependências de terceiros e arquitetura zero-trust para infraestrutura de assinatura.

A atenção regulatória intensificou-se. Agências nos Estados Unidos, Singapura e União Europeia começaram a revisar requisitos mais rígidos para auditorias de carteiras, divulgações de risco, controles de cadeia de suprimentos de software e transparência na resposta a incidentes.

O que Não Mudou

A taxa de recuperação de 3 % fala por si só. Apesar de US$140 milhões em incentivos de recompensa, os esforços combinados da Bybit, empresas de análise de blockchain, agências de aplicação da lei e milhares de caçadores de recompensas recuperaram menos de US$ 50 milhões dos US$ 1,5 bilhão roubados. A infraestrutura permissionless permanece fundamentalmente resistente à recuperação de ativos pós-roubo.

Protocolos descentralizados ainda não podem (ou não querem) censurar. THORChain e eXch facilitaram a lavagem de bilhões. A tensão entre o design permissionless e a cooperação com a aplicação da lei permanece sem solução, e a indústria não possui um framework para lidar com roubos em escala de estado-nação através de infraestrutura descentralizada.

A segurança operacional dos desenvolvedores continua fraca. O comprometimento inicial foi o laptop de um único desenvolvedor. Um ano depois, a maioria dos projetos cripto ainda carece de requisitos formais de segurança para estações de trabalho de desenvolvedores, e a dependência da indústria em interfaces de carteira baseadas em navegador continua a expor os processos de assinatura a ataques na camada web.

Um Ano Depois: Onde o Dinheiro Está

Em fevereiro de 2026, a repartição aproximada dos $ 1,5 bilhão em fundos roubados é:

• ~ 3-4% congelados (~ $ 42-57 milhões): Congelados com sucesso através da cooperação de corretoras e coordenação da aplicação da lei
• ~ 27-30% desaparecidos: Fundos que foram misturados, movidos via bridges ou de outra forma ofuscados além das capacidades atuais de rastreamento
• ~ 66-70% rastreáveis, mas irrecuperáveis: Parados em carteiras identificadas que nenhuma entidade centralizada tem autoridade ou capacidade para congelar

Esta última categoria é a mais frustrante. A transparência do blockchain significa que os investigadores podem ver o dinheiro. Eles sabem onde ele está. Mas "rastreável" não significa "recuperável" em um sistema sem permissão. O Grupo Lazarus pode se dar ao luxo de esperar anos. A comunidade de investigação não.

Olhando para o Futuro

O primeiro aniversário do ataque à Bybit não é uma história com uma resolução. É uma história que ainda está se desenrolando. Os fundos roubados continuam a se mover em pequenos lotes. O Grupo Lazarus continua a sondar novos alvos. E as tensões estruturais que o ataque expôs — entre descentralização e responsabilidade, entre protocolos sem permissão e aplicação da lei, entre segurança e usabilidade — permanecem mais agudas do que nunca.

O que o ataque à Bybit demonstrou, em última análise, é que a maior vulnerabilidade da indústria cripto não são seus contratos inteligentes ou seus mecanismos de consenso. É a infraestrutura humana e Web2 que conecta esses sistemas ao mundo físico. Até que a indústria aborde essa lacuna com o mesmo rigor que aplica ao design de protocolos, a questão não é se o próximo ataque de um bilhão de dólares acontecerá. É quando.

---

Para equipes que constroem em infraestrutura de blockchain, a segurança começa na base. BlockEden.xyz fornece infraestrutura de nós de nível empresarial com monitoramento integrado e detecção de anomalias em Ethereum, Sui, Aptos e mais de 20 redes — projetada para equipes que não podem se dar ao luxo de comprometer a segurança. Explore nosso marketplace de APIs para construir em uma infraestrutura em que você pode confiar.