5 posts marcados com "Cibersegurança"

Na véspera de Natal de 2025, enquanto a maior parte do mundo cripto estava de folga, invasores enviaram uma atualização maliciosa para a extensão do Chrome da Trust Wallet. Em 48 horas, $ 8,5 milhões desapareceram de 2.520 carteiras. As frases semente (seed phrases) de milhares de usuários foram coletadas silenciosamente, disfarçadas como dados de telemetria de rotina. Mas este não foi um incidente isolado — foi o ponto culminante de um ataque à cadeia de suprimentos que vinha se espalhando pelo ecossistema de desenvolvimento cripto há semanas.

A campanha Shai-Hulud, nomeada em homenagem aos vermes de areia de Duna, representa o ataque à cadeia de suprimentos npm mais agressivo de 2025. Comprometeu mais de 700 pacotes npm, infectou 27.000 repositórios GitHub e expôs aproximadamente 14.000 segredos de desenvolvedores em 487 organizações. O dano total: mais de $ 58 milhões em criptomoedas roubadas, tornando-o um dos ataques direcionados a desenvolvedores mais dispendiosos na história das criptos.

A Anatomia de um Worm de Cadeia de Suprimentos​

Ao contrário do malware típico que exige que os usuários baixem softwares maliciosos, os ataques à cadeia de suprimentos envenenam as ferramentas em que os desenvolvedores já confiam. A campanha Shai-Hulud transformou em arma o npm, o gerenciador de pacotes que alimenta a maior parte do desenvolvimento JavaScript — incluindo quase todas as carteiras cripto, frontends DeFi e aplicações Web3.

O ataque começou em setembro de 2025 com a primeira onda, resultando em aproximadamente $ 50 milhões em roubo de criptomoedas. Mas foi "A Segunda Vinda" em novembro que demonstrou a verdadeira sofisticação da operação. Entre 21 e 23 de novembro, os invasores comprometeram a infraestrutura de desenvolvimento de grandes projetos, incluindo Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase e Postman.

O mecanismo de propagação era elegante e terrível. Quando o Shai-Hulud infecta um pacote npm legítimo, ele injeta dois arquivos maliciosos — setup_bun.js e bun_environment.js — acionados por um script de pré-instalação (preinstall script). Diferente do malware tradicional que é ativado após a instalação, esse payload é executado antes da conclusão da instalação e até mesmo quando a instalação falha. No momento em que os desenvolvedores percebem que algo está errado, suas credenciais já foram roubadas.

O worm identifica outros pacotes mantidos por desenvolvedores comprometidos, injeta automaticamente código malicioso e publica novas versões comprometidas no registro npm. Essa propagação automatizada permitiu que o malware se espalhasse exponencialmente sem intervenção direta do invasor.

De Segredos de Desenvolvedores a Carteiras de Usuários​

A conexão entre pacotes npm comprometidos e o hack da Trust Wallet revela como os ataques à cadeia de suprimentos cascateiam de desenvolvedores para usuários finais.

A investigação da Trust Wallet revelou que seus segredos do GitHub de desenvolvedores foram expostos durante o surto do Shai-Hulud em novembro. Essa exposição deu aos invasores acesso ao código-fonte da extensão do navegador e, crucialmente, à chave de API da Chrome Web Store. Armados com essas credenciais, os invasores ignoraram completamente o processo de lançamento interno da Trust Wallet.

Em 24 de dezembro de 2025, a versão 2.68 da extensão para Chrome da Trust Wallet apareceu na Chrome Web Store — publicada por invasores, não pelos desenvolvedores da Trust Wallet. O código malicioso foi projetado para percorrer todas as carteiras armazenadas na extensão e acionar uma solicitação de frase mnemônica para cada carteira. Independentemente de os usuários se autenticarem com senha ou biometria, suas frases semente foram exfiltradas silenciosamente para servidores controlados por invasores, disfarçadas de dados analíticos legítimos.

Os fundos roubados foram divididos da seguinte forma: aproximadamente $ 3 milhões em Bitcoin, mais de $ 3 milhões em Ethereum e quantias menores em Solana e outros tokens. Em poucos dias, os invasores começaram a lavar fundos por meio de corretoras centralizadas — $ 3,3 milhões para a ChangeNOW, $ 340.000 para a FixedFloat e $ 447.000 para a KuCoin.

O Interruptor do Homem Morto (Dead Man's Switch)​

Talvez o mais perturbador seja o mecanismo de "interruptor do homem morto" do malware Shai-Hulud. Se o worm não conseguir se autenticar com o GitHub ou npm — se seus canais de propagação e exfiltração forem cortados — ele apagará todos os arquivos no diretório home do usuário.

Este recurso destrutivo serve para múltiplos propósitos. Ele pune tentativas de detecção, cria um caos que mascara os rastros dos invasores e fornece alavancagem caso os defensores tentem cortar a infraestrutura de comando e controle. Para desenvolvedores que não mantiveram backups adequados, uma tentativa de limpeza fracassada poderia resultar em perda catastrófica de dados, além do roubo de credenciais.

Os invasores também demonstraram sofisticação psicológica. Quando a Trust Wallet anunciou a violação, os mesmos invasores lançaram uma campanha de phishing explorando o pânico resultante, criando sites falsos com a marca Trust Wallet pedindo aos usuários que inserissem suas frases semente de recuperação para "verificação da carteira". Algumas vítimas foram comprometidas duas vezes.

A Questão do Insider​

O cofundador da Binance, Changpeng Zhao (CZ), sugeriu que a exploração da Trust Wallet foi "muito provavelmente" realizada por um insider ou alguém com acesso prévio a permissões de implantação. A própria análise da Trust Wallet sugere que os invasores podem ter ganhado o controle de dispositivos de desenvolvedores ou obtido permissões de implantação antes de 8 de dezembro de 2025.

Pesquisadores de segurança observaram padrões que sugerem um possível envolvimento de um estado-nação. O momento escolhido — a véspera de Natal — segue um roteiro comum de ameaças persistentes avançadas (APT): atacar durante feriados, quando as equipes de segurança estão com pouco pessoal. A sofisticação técnica e a escala da campanha Shai-Hulud, combinadas com a rápida lavagem de fundos, sugerem recursos que vão além das operações criminosas típicas.

Por que as extensões de navegador são exclusivamente vulneráveis​

O incidente da Trust Wallet destaca uma vulnerabilidade fundamental no modelo de segurança cripto. As extensões de navegador operam com privilégios extraordinários — elas podem ler e modificar páginas web, acessar o armazenamento local e, no caso de carteiras cripto, deter as chaves de milhões de dólares.

A superfície de ataque é massiva:

• Mecanismos de atualização: As extensões são atualizadas automaticamente, e uma única atualização comprometida atinge todos os usuários
• Segurança de chaves de API: As chaves de API da Chrome Web Store, se vazadas, permitem que qualquer pessoa publique atualizações
• Suposições de confiança: Os usuários assumem que as atualizações de lojas oficiais são seguras
• Timing de feriados: O monitoramento de segurança reduzido durante os feriados permite um tempo de permanência (dwell time) mais longo

Este não é o primeiro ataque de extensão de navegador a usuários de cripto. Incidentes anteriores incluem a campanha GlassWorm visando extensões do VS Code e a fraude da extensão FoxyWallet no Firefox. Mas a violação da Trust Wallet foi a maior em termos de valor em dólares e demonstrou como os comprometimentos da cadeia de suprimentos (supply chain) amplificam o impacto dos ataques de extensão.

A resposta da Binance e o precedente SAFU​

A Binance confirmou que os usuários afetados da Trust Wallet seriam totalmente reembolsados por meio de seu Fundo de Ativos Seguros para Usuários (SAFU). Este fundo, estabelecido após um hack na exchange em 2018, mantém uma parte das taxas de negociação em reserva especificamente para cobrir perdas de usuários em incidentes de segurança.

A decisão de reembolsar estabelece um precedente importante — e cria uma questão interessante sobre a alocação de responsabilidade. A Trust Wallet foi comprometida sem culpa direta dos usuários, que simplesmente abriram suas carteiras durante a janela afetada. No entanto, a causa raiz foi um ataque à cadeia de suprimentos que comprometeu a infraestrutura do desenvolvedor, que, por sua vez, foi possibilitado por vulnerabilidades mais amplas do ecossistema no npm.

A resposta imediata da Trust Wallet incluiu a expiração de todas as APIs de lançamento para bloquear novas versões por duas semanas, a denúncia do domínio de exfiltração malicioso ao seu registrador (resultando em suspensão imediata) e o lançamento de uma versão limpa 2.69. Os usuários foram aconselhados a migrar fundos para novas carteiras imediatamente se tivessem desbloqueado a extensão entre 24 e 26 de dezembro.

Lições para o ecossistema cripto​

A campanha Shai-Hulud expõe vulnerabilidades sistêmicas que se estendem muito além da Trust Wallet:

Para Desenvolvedores​

Fixe dependências explicitamente. A exploração de scripts de pré-instalação funciona porque as instalações do npm podem executar código arbitrário. Fixar versões conhecidas como limpas evita que atualizações automáticas introduzam pacotes comprometidos.

Trate segredos como comprometidos. Qualquer projeto que tenha baixado pacotes npm entre 21 de novembro e dezembro de 2025 deve assumir a exposição de credenciais. Isso significa revogar e regenerar tokens npm, GitHub PATs, chaves SSH e credenciais de provedores de nuvem.

Implemente o gerenciamento de segredos adequado. Chaves de API para infraestrutura crítica, como a publicação em lojas de aplicativos, nunca devem ser armazenadas no controle de versão, mesmo em repositórios privados. Use módulos de segurança de hardware ou serviços dedicados de gerenciamento de segredos.

Imponha MFA resistente a phishing. A autenticação padrão de dois fatores pode ser contornada por atacantes sofisticados. Chaves de hardware como YubiKeys fornecem uma proteção mais forte para contas de desenvolvedores e CI / CD.

Para Usuários​

Diversifique a infraestrutura da carteira. Não mantenha todos os fundos em extensões de navegador. As carteiras de hardware (hardware wallets) fornecem isolamento contra vulnerabilidades de software — elas podem assinar transações sem nunca expor as frases semente (seed phrases) a navegadores potencialmente comprometidos.

Assuma que as atualizações podem ser maliciosas. O modelo de atualização automática que torna o software conveniente também o torna vulnerável. Considere desativar as atualizações automáticas para extensões críticas de segurança e verificar manualmente as novas versões.

Monitore a atividade da carteira. Serviços que alertam sobre transações incomuns podem fornecer um aviso antecipado de comprometimento, potencialmente limitando as perdas antes que os atacantes esvaziem carteiras inteiras.

Para a Indústria​

Fortaleça o ecossistema npm. O registro npm é uma infraestrutura crítica para o desenvolvimento Web3, mas carece de muitos recursos de segurança que impediriam a propagação do tipo worm. A assinatura obrigatória de código, builds reproduzíveis e detecção de anomalias para atualizações de pacotes poderiam elevar significativamente a barra para os atacantes.

Repense a segurança das extensões de navegador. O modelo atual — onde as extensões são atualizadas automaticamente e têm permissões amplas — é fundamentalmente incompatível com os requisitos de segurança para manter ativos significativos. Ambientes de execução em sandbox, atualizações atrasadas com revisão do usuário e permissões reduzidas poderiam ajudar.

Coordene a resposta a incidentes. A campanha Shai-Hulud afetou centenas de projetos em todo o ecossistema cripto. Um melhor compartilhamento de informações e uma resposta coordenada poderiam ter limitado os danos à medida que pacotes comprometidos eram identificados.

O futuro da segurança da cadeia de suprimentos em cripto​

A indústria de criptomoedas historicamente concentrou os esforços de segurança em auditorias de contratos inteligentes, armazenamento a frio (cold storage) de exchanges e proteção contra phishing voltada para o usuário. A campanha Shai-Hulud demonstra que os ataques mais perigosos podem vir de ferramentas de desenvolvedor comprometidas — infraestrutura com a qual os usuários de cripto nunca interagem diretamente, mas que sustenta cada aplicação que eles usam.

À medida que as aplicações Web3 se tornam mais complexas, seus gráficos de dependência aumentam. Cada pacote npm, cada GitHub action, cada integração de CI / CD representa um vetor de ataque potencial. A resposta da indústria ao Shai-Hulud determinará se isso se tornará um alerta único ou o início de uma era de ataques à cadeia de suprimentos na infraestrutura cripto.

Por enquanto, os atacantes permanecem não identificados. Aproximadamente $2,8 milhões dos fundos roubados da Trust Wallet permanecem nas carteiras dos atacantes, enquanto o restante foi lavado por meio de exchanges centralizadas e pontes cross-chain. Os mais de$ 50 milhões em roubos anteriores da campanha Shai-Hulud desapareceram em grande parte nas profundezas pseudônimas do blockchain.

O verme da areia (sandworm) penetrou profundamente nas fundações das criptomoedas. Erradicá-lo exigirá repensar suposições de segurança que a indústria deu como certas desde os seus primórdios.

---

Construir aplicações Web3 seguras requer infraestrutura robusta. O BlockEden.xyz fornece nós RPC de nível empresarial e APIs com monitoramento integrado e detecção de anomalias, ajudando os desenvolvedores a identificar atividades incomuns antes que elas impactem os usuários. Explore nosso marketplace de APIs para construir em fundações focadas em segurança.

As violações de carteiras individuais saltaram para 158.000 incidentes, afetando 80.000 vítimas únicas em 2025, resultando em $ 713 milhões roubados apenas de carteiras pessoais. Isso não é um hack de exchange ou uma exploração de protocolo — são usuários comuns de cripto perdendo suas economias para invasores que evoluíram muito além de simples e-mails de phishing. As violações de carteiras pessoais agora representam 37 % de todo o valor de cripto roubado, um aumento em relação aos apenas 7,3 % em 2022. A mensagem é clara: se você possui cripto, você é um alvo, e as estratégias de proteção de ontem não são mais suficientes.

Apenas no primeiro semestre de 2025, atacantes drenaram mais de $2,3 bilhões de protocolos de cripto — mais do que todo o ano de 2024 combinado. Vulnerabilidades de controle de acesso sozinhas foram responsáveis por$ 1,6 bilhão dessa devastação. O hack da Bybit em fevereiro de 2025, um ataque à cadeia de suprimentos de $ 1,4 bilhão, demonstrou que mesmo as maiores exchanges permanecem vulneráveis. Ao entrarmos em 2026, a indústria de auditoria de contratos inteligentes enfrenta seu momento mais crítico: evoluir ou assistir a mais bilhões desaparecerem nas carteiras dos atacantes.

Em 21 de fevereiro de 2025, hackers norte-coreanos roubaram $ 1,5 bilhão em criptomoeda da exchange sediada em Dubai, Bybit, em aproximadamente 30 minutos. Não foi apenas o maior roubo de cripto da história — se a Bybit fosse um banco, ele seria classificado como o maior assalto a banco já registrado pelo Guinness World Records.

O ataque não explorou uma falha de contrato inteligente ou forçou uma chave privada por força bruta. Em vez disso, os hackers comprometeram o laptop de um único desenvolvedor em um provedor de carteira terceirizado, esperaram pacientemente por semanas e atacaram quando os funcionários da Bybit estavam aprovando o que parecia ser uma transferência interna de rotina. No momento em que alguém percebeu que algo estava errado, 500.000 ETH haviam desaparecido em um labirinto de carteiras controladas pelo Lazarus Group da Coreia do Norte.

Esta é a história de como isso aconteceu, por que é importante e o que revela sobre o estado da segurança cripto em 2025.

O Ataque: Uma Aula de Paciência e Precisão​

O hack da Bybit não foi um ataque de oportunidade imediato. Foi uma operação cirúrgica que se desenrolou ao longo de semanas.

Fase 1: Comprometendo o Desenvolvedor​

Em 4 de fevereiro de 2025, um desenvolvedor da Safe{Wallet} — uma plataforma de carteira multiassinatura amplamente utilizada na qual a Bybit confiava para garantir grandes transferências — baixou o que parecia ser um projeto Docker legítimo chamado "MC-Based-Stock-Invest-Simulator-main". O arquivo provavelmente chegou por meio de um ataque de engenharia social, possivelmente disfarçado de oportunidade de emprego ou ferramenta de investimento.

O contêiner Docker malicioso estabeleceu imediatamente uma conexão com um servidor controlado pelo invasor. A partir daí, os hackers extraíram tokens de sessão da AWS da estação de trabalho do desenvolvedor — as credenciais temporárias que concedem acesso à infraestrutura em nuvem da Safe{Wallet}.

Com esses tokens, os invasores contornaram inteiramente a autenticação multifator. Eles agora tinham as chaves do reino da Safe{Wallet}.

Fase 2: O Código Adormecido​

Em vez de agir imediatamente, os invasores injetaram um código JavaScript sutil na interface web da Safe{Wallet}. Esse código foi projetado especificamente para a Bybit — ele permaneceria adormecido até detectar que um funcionário da Bybit havia aberto sua conta Safe e estava prestes a autorizar uma transação.

A sofisticação aqui é notável. Todo o aplicativo Safe{Wallet} funcionava normalmente para todos os outros usuários. Apenas a Bybit foi visada.

Fase 3: O Assalto​

Em 21 de fevereiro de 2025, os funcionários da Bybit iniciaram o que deveria ter sido uma transferência de rotina de uma cold wallet (armazenamento offline seguro) para uma warm wallet (para negociação ativa). Isso exigia várias assinaturas de pessoal autorizado — uma prática de segurança padrão chamada multisig.

Quando os signatários abriram a Safe{Wallet} para aprovar a transação, a interface exibia o que parecia ser o endereço de destino correto. Mas o código malicioso já havia trocado o comando por um diferente. Os funcionários, sem saber, aprovaram uma transação que esvaziou toda a cold wallet da Bybit.

Em poucos minutos, 500.000 ETH — no valor de aproximadamente $ 1,5 bilhão — fluíram para endereços controlados pelos invasores.

O Exploit Técnico: Delegatecall​

A vulnerabilidade principal foi a função delegatecall do Ethereum, que permite que um contrato inteligente execute o código de outro contrato dentro de seu próprio contexto de armazenamento. Os invasores enganaram os signatários da Bybit para alterar a lógica do contrato de sua carteira para uma versão maliciosa, concedendo efetivamente controle total aos hackers.

Isso não foi um bug no Ethereum ou no protocolo central da Safe{Wallet}. Foi um ataque à camada humana — o momento em que funcionários de confiança verificam e aprovam transações.

Lazarus Group da Coreia do Norte: Os Hackers Mais Lucrativos do Mundo​

Em 24 horas após o ataque, o investigador de blockchain ZachXBT enviou evidências à Arkham Intelligence conectando definitivamente o hack ao Lazarus Group da Coreia do Norte. O FBI confirmou essa atribuição em 26 de fevereiro de 2025.

O Lazarus Group — também conhecido como TraderTraitor e APT38 — opera sob o Escritório Geral de Reconhecimento da Coreia do Norte. Não é uma gangue criminosa que busca lucro para enriquecimento pessoal. É uma operação patrocinada pelo Estado cujos rendimentos financiam os programas de armas nucleares e mísseis balísticos da Coreia do Norte.

Os números são impressionantes:

• Somente em 2025: Hackers norte-coreanos roubaram $ 2,02 bilhões em criptomoeda
• A fatia da Bybit: $ 1,5 bilhão (74 % do total arrecadado pela Coreia do Norte em 2025 em um único ataque)
• Desde 2017: A Coreia do Norte roubou mais de $ 6,75 bilhões em ativos cripto
• 2025 vs 2024: Aumento de 51 % em relação ao ano anterior no valor roubado

A Coreia do Norte foi responsável por 59 % de todas as criptomoedas roubadas globalmente em 2025 e 76 % de todos os comprometimentos de exchanges. Nenhum outro ator de ameaça chega perto.

A Industrialização do Roubo de Cripto​

O que torna a Coreia do Norte diferente não é apenas a escala — é a sofisticação de sua operação.

Engenharia Social sobre Exploits Técnicos​

A maioria dos grandes hacks de 2025 foi perpetrada por meio de engenharia social, em vez de vulnerabilidades técnicas. Isso representa uma mudança fundamental. Os hackers não estão mais caçando prioritariamente bugs de contratos inteligentes ou fraquezas criptográficas. Eles estão visando pessoas.

Operativos do Lazarus Group se infiltraram como trabalhadores de TI dentro de empresas de cripto. Eles se passaram por executivos. Eles enviaram ofertas de emprego contendo malware para desenvolvedores. O ataque à Bybit começou com um desenvolvedor baixando um simulador de negociação de ações falso — um vetor clássico de engenharia social.

A Lavanderia Chinesa​

Roubar cripto é apenas metade do desafio. Convertê-las em fundos utilizáveis sem ser pego é igualmente complexo.

Em vez de sacar diretamente, a Coreia do Norte terceirizou a lavagem de dinheiro para o que os investigadores chamam de "Lavanderia Chinesa" — uma vasta rede de banqueiros clandestinos, corretores OTC e intermediários de lavagem baseada em comércio. Esses atores lavam ativos roubados entre diferentes chains, jurisdições e canais de pagamento.

Até 20 de março de 2025 — menos de um mês após o hack da Bybit — o CEO Ben Zhou informou que os hackers já haviam convertido 86,29 % do ETH roubado em Bitcoin por meio de várias carteiras intermediárias, exchanges descentralizadas e pontes cross-chain. O ciclo de lavagem de 45 dias após grandes roubos tornou-se um padrão previsível.

Apesar desses esforços, Zhou observou que 88,87 % dos ativos roubados permaneciam rastreáveis. Mas "rastreável" não significa "recuperável". Os fundos fluem através de jurisdições sem relação de cooperação com as autoridades policiais dos EUA ou internacionais.

Resposta da Bybit : Gestão de Crise sob Fogo Cruzado​

Dentro de 30 minutos após a descoberta da violação, o CEO Ben Zhou assumiu o comando e começou a fornecer atualizações em tempo real no X (antigo Twitter). Sua mensagem foi direta : "A Bybit é solvente, mesmo que esta perda por hack não seja recuperada ; todos os ativos dos clientes são lastreados 1 para 1, podemos cobrir a perda."

A exchange processou mais de 350.000 solicitações de saque em 12 horas — um sinal para os usuários de que, apesar da perda catastrófica, as operações continuariam normalmente.

Financiamento de Emergência​

Em 72 horas, a Bybit recompôs suas reservas ao garantir 447.000 ETH por meio de financiamento de emergência de parceiros, incluindo Galaxy Digital, FalconX e Wintermute. A Bitget emprestou 40.000 ETH para garantir que os saques continuassem ininterruptos — um empréstimo que a Bybit pagou em três dias.

A empresa de cibersegurança Hacken realizou uma auditoria de prova de reservas confirmando que os principais ativos da Bybit estavam lastreados por mais de 100 % de colateral. A transparência foi sem precedentes para uma crise desta magnitude.

O Programa de Bounty​

Zhou declarou "guerra contra Lazarus" e lançou um programa global de bounty oferecendo recompensas de até 10 % por informações que levassem ao congelamento de ativos. Até o final do ano, a Bybit pagou $ 2,18 milhões em USDT para colaboradores que ajudaram a rastrear ou recuperar fundos.

O Veredito do Mercado​

Ao final de 2025, a Bybit havia ultrapassado 80 milhões de usuários globalmente, registrou $ 7,1 bilhões em volume diário de negociação e classificou-se em 5º lugar entre as exchanges de criptomoedas spot. A resposta à crise tornou-se um estudo de caso sobre como sobreviver a um hack catastrófico.

2025 : O Ano em que o Roubo de Cripto Atingiu $ 3,4 Bilhões​

O hack da Bybit dominou as manchetes, mas fazia parte de um padrão mais amplo. O total de roubos de criptomoedas atingiu $ 3,4 bilhões em 2025 — um novo recorde e o terceiro ano consecutivo de aumentos.

Estatísticas principais :

• 2023 : $ 2 bilhões roubados
• 2024 : $ 2,2 bilhões roubados
• 2025 : $ 3,4 bilhões roubados

A participação da Coreia do Norte cresceu de aproximadamente metade para quase 60 % de todos os roubos de cripto. A RPDC realizou roubos maiores com menos incidentes, demonstrando aumento de eficiência e sofisticação.

Lições Aprendidas : Onde a Segurança Falhou​

O hack da Bybit expôs vulnerabilidades críticas que se estendem muito além de uma única exchange.

O Risco de Terceiros é Existencial​

A Bybit não teve uma falha de segurança. A Safe{Wallet} teve. Mas a Bybit sofreu as consequências.

A indústria cripto construiu cadeias de dependência complexas onde as exchanges dependem de provedores de carteiras, os provedores de carteiras dependem de infraestrutura em nuvem e a infraestrutura em nuvem depende de estações de trabalho de desenvolvedores individuais. Um comprometimento em qualquer lugar desta cadeia pode gerar uma cascata catastrófica.

O Armazenamento a Frio Não é Suficiente​

A indústria há muito trata as cold wallets como o padrão ouro de segurança. Mas os fundos da Bybit estavam em armazenamento a frio quando foram roubados. A vulnerabilidade estava no processo de movê-los — a etapa de aprovação humana que a multissig foi projetada para proteger.

Quando as transferências se tornam rotineiras, os signatários desenvolvem uma falsa sensação de segurança, tratando as aprovações como formalidades em vez de decisões críticas de segurança. O ataque à Bybit explorou exatamente esse padrão comportamental.

A UI é um Ponto Único de Falha​

A segurança multissig pressupõe que os signatários podem verificar o que estão aprovando. Mas se a interface que exibe os detalhes da transação estiver comprometida, a verificação torna-se sem sentido. Os atacantes mostraram uma coisa aos signatários enquanto executavam outra.

Simulações de pré-assinatura — permitindo que os funcionários visualizem o destino real de uma transação antes da aprovação — poderiam ter evitado este ataque. Assim como atrasos para saques de grande valor, permitindo tempo para revisão adicional.

A Engenharia Social Vence a Segurança Técnica​

Você pode ter a segurança criptográfica mais sofisticada do mundo, e um único funcionário baixando o arquivo errado pode contornar tudo isso. O ponto fraco na segurança das criptomoedas é cada vez mais humano, não técnico.

Implicações Regulatórias e do Setor​

O hack da Bybit já está moldando o cenário regulatório.

Espere requisitos obrigatórios para :

• Módulos de segurança de hardware (HSMs) para gestão de chaves
• Monitoramento de transações em tempo real e detecção de anomalias
• Auditorias de segurança regulares de terceiros
• Frameworks de AML aprimorados e atrasos em transações para grandes transferências

Segurança e conformidade estão se tornando requisitos básicos para o acesso ao mercado. Projetos que não puderem demonstrar uma gestão de chaves robusta, design de permissões e frameworks de segurança credíveis ficarão isolados de parceiros bancários e usuários institucionais.

O que Isso Significa para o Setor​

O hack da Bybit revela uma verdade desconfortável: o modelo de segurança das criptomoedas é tão forte quanto o seu elo operacional mais fraco.

O setor investiu pesadamente em segurança criptográfica — provas de conhecimento zero, assinaturas de limite, enclaves seguros. Mas a criptografia mais sofisticada é irrelevante se um invasor conseguir enganar um humano para aprovar uma transação maliciosa.

Para as exchanges, a mensagem é clara: a inovação em segurança deve se estender além da tecnologia para abranger processos operacionais, gestão de risco de terceiros e treinamento contínuo de funcionários. Auditorias regulares, compartilhamento colaborativo de inteligência de ameaças e planejamento de resposta a incidentes não são mais opcionais.

Para os usuários, a lição é igualmente dura: até mesmo as maiores exchanges com a segurança mais sofisticada podem ser comprometidas. Autocustódia, carteiras de hardware e armazenamento distribuído de ativos continuam sendo as estratégias de longo prazo mais seguras — mesmo que sejam menos convenientes.

Conclusão​

O Lazarus Group da Coreia do Norte industrializou o roubo de criptomoedas. Eles roubaram mais de $ 6,75 bilhões desde 2017, com 2025 marcando o seu ano de maior sucesso até agora. O hack da Bybit sozinho — $ 1,5 bilhão em uma única operação — demonstra capacidades que deixariam qualquer agência de inteligência com inveja.

O setor cripto está em uma corrida armamentista com hackers patrocinados por estados que têm paciência ilimitada, capacidades técnicas sofisticadas e nenhum medo de consequências. O ataque à Bybit teve sucesso não por causa de qualquer exploit novo, mas porque os invasores entenderam que os humanos, não o código, são o elo mais fraco.

Até que o setor trate a segurança operacional com o mesmo rigor que aplica à segurança criptográfica, esses ataques continuarão. A questão não é se outro hack de um bilhão de dólares acontecerá — é quando, e se o alvo responderá de forma tão eficaz quanto a Bybit fez.

---

Este artigo é apenas para fins educacionais e não deve ser considerado aconselhamento financeiro. Sempre realize sua própria pesquisa e priorize a segurança ao interagir com exchanges e carteiras de criptomoedas.

Em um dos ataques cibernéticos mais sofisticados de 2023, a Radiant Capital, um protocolo de empréstimo descentralizado cross-chain construído sobre o LayerZero, perdeu aproximadamente US$ 50 milhões para hackers. A complexidade e precisão desse ataque revelaram as capacidades avançadas dos hackers norte-coreanos patrocinados pelo Estado, ampliando os limites do que muitos acreditavam ser possível em violações de segurança cripto.

O Ataque de Engenharia Social Perfeito​

Em 11 de setembro de 2023, um desenvolvedor da Radiant Capital recebeu o que parecia ser uma mensagem inocente no Telegram. O remetente se passou por um ex‑contratado, alegando ter mudado de carreira para auditoria de smart contracts e querendo feedback sobre um relatório de projeto. Esse tipo de solicitação é comum na cultura de trabalho remoto em desenvolvimento cripto, tornando‑se particularmente eficaz como tática de engenharia social.

Os atacantes foram além, criando um site falso que imitava de forma quase idêntica o domínio legítimo do suposto contratado, adicionando mais uma camada de autenticidade à sua enganação.

O Cavalo de Troia​

Quando o desenvolvedor baixou e descompactou o arquivo, este parecia ser um documento PDF padrão. No entanto, o arquivo era na verdade um executável malicioso chamado INLETDRIFT disfarçado com um ícone de PDF. Ao ser aberto, instalou silenciosamente uma backdoor no sistema macOS e estabeleceu comunicação com o servidor de comando dos atacantes (atokyonews[.]com).

A situação piorou quando o desenvolvedor infectado, buscando feedback, compartilhou o arquivo malicioso com outros membros da equipe, espalhando inadvertidamente o malware dentro da organização.

O Sofisticado Ataque Man-in-the-Middle​

Com o malware instalado, os hackers executaram um ataque de “iscas e troca” precisamente direcionado. Eles interceptaram os dados da transação quando os membros da equipe operavam sua carteira multiassinatura Gnosis Safe. Enquanto a transação parecia normal na interface web, o malware substituiu o conteúdo da transação ao chegar à carteira de hardware Ledger para assinatura.

Devido ao mecanismo de assinatura cega usado nas transações multi‑sig do Safe, os membros da equipe não conseguiram detectar que estavam, na verdade, assinando uma chamada de função transferOwnership(), que transferia o controle dos pools de empréstimo para os atacantes. Isso permitiu que os hackers drenassem fundos de usuários que haviam sido autorizados nos contratos do protocolo.

A Limpeza Rápida​

Após o roubo, os atacantes demonstraram uma segurança operacional notável. Em apenas três minutos, removeram todos os vestígios da backdoor e das extensões do navegador, cobrindo efetivamente seus rastros.

Lições Principais para a Indústria​

1. Nunca Confie em Downloads de Arquivos: As equipes devem padronizar o uso de ferramentas de documentos online como Google Docs ou Notion em vez de baixar arquivos. Por exemplo, o processo de recrutamento da OneKey aceita apenas links do Google Docs, recusando explicitamente abrir quaisquer outros arquivos ou links.

2. Segurança do Frontend é Crítica: O incidente destaca o quão facilmente os atacantes podem falsificar informações de transação no frontend, fazendo com que os usuários assinem transações maliciosas sem saber.

3. Riscos da Assinatura Cega: Carteiras de hardware frequentemente exibem resumos de transação simplificados demais, dificultando a verificação da verdadeira natureza de interações complexas de contratos inteligentes.

4. Segurança de Protocolos DeFi: Projetos que lidam com grandes quantias de capital devem implementar mecanismos de timelock e processos de governança robustos. Isso cria um período de buffer para detectar e responder a atividades suspeitas antes que os fundos possam ser movimentados.

O hack da Radiant Capital serve como um lembrete sóbrio de que, mesmo com carteiras de hardware, ferramentas de simulação de transação e as melhores práticas da indústria, atacantes sofisticados ainda podem encontrar maneiras de comprometer a segurança. Isso enfatiza a necessidade de vigilância constante e evolução nas medidas de segurança cripto.

À medida que a indústria amadurece, devemos aprender com esses incidentes para construir estruturas de segurança mais robustas que possam resistir a vetores de ataque cada vez mais sofisticados. O futuro do DeFi depende disso.