10 posts marcados com "Cibersegurança"

Aproximadamente 6,26 milhões de Bitcoins — avaliados entre $ 650 bilhões e $ 750 bilhões — estão em endereços vulneráveis a ataques quânticos. Embora a maioria dos especialistas concorde que os computadores quânticos criptograficamente relevantes ainda estejam a anos de distância, a infraestrutura necessária para proteger esses ativos não pode ser construída da noite para o dia. Um protocolo afirma que já tem a resposta, e a SEC concorda.

O Naoris Protocol tornou-se o primeiro protocolo de segurança descentralizado citado em um documento regulatório dos EUA quando a Estrutura de Infraestrutura Financeira Pós-Quântica (PQFIF) da SEC o designou como um modelo de referência para infraestrutura de blockchain resistente a computação quântica. Com a mainnet sendo lançada antes do final do primeiro trimestre de 2026, 104 milhões de transações pós-quânticas já processadas na testnet e parcerias abrangendo instituições alinhadas à OTAN, o Naoris representa uma aposta radical: que a próxima fronteira da DePIN não é o processamento ou o armazenamento — é a própria cibersegurança.

Sua cold wallet não é tão segura quanto você pensa. Em 2025, ataques à infraestrutura — visando chaves privadas, sistemas de carteiras e os humanos que os gerenciam — representaram 76 % de todas as criptomoedas roubadas, totalizando US$ 2,2 bilhões em apenas 45 incidentes. O Lazarus Group, unidade de hackers patrocinada pelo estado da Coreia do Norte, aperfeiçoou um manual que torna a segurança tradicional de armazenamento a frio quase insignificante: campanhas de infiltração de um mês que visam as pessoas, não o código.

Quando o desenvolvedor da Safe{Wallet} "Developer1" recebeu o que parecia ser uma solicitação rotineira em 4 de fevereiro de 2025, ele não tinha ideia de que seu Apple MacBook se tornaria o ponto de entrada para o maior assalto de criptomoedas da história. Em dezessete dias, o Grupo Lazarus da Coreia do Norte exploraria esse único laptop comprometido para roubar US$ 1,5 bilhão da Bybit — mais do que o PIB total de algumas nações.

Isso não foi uma aberração. Foi o ponto culminante de uma evolução de uma década que transformou um grupo de hackers patrocinados pelo Estado nos ladrões de criptomoedas mais sofisticados do mundo, responsáveis por pelo menos US$ 6,75 bilhões em roubos acumulados.

Os números são impressionantes: $ 3,4 bilhões roubados de plataformas de criptomoeda em 2025, com um único Estado-nação responsável por quase dois terços do total. O Lazarus Group da Coreia do Norte não apenas quebrou recordes — eles reescreveram as regras do cibercrime patrocinado pelo Estado, executando menos ataques enquanto extraíam um valor exponencialmente maior. Ao entrarmos em 2026, a indústria de criptomoedas enfrenta uma verdade desconfortável: os paradigmas de segurança dos últimos cinco anos estão fundamentalmente falhos.

O Despertar de $ 3,4 Bilhões​

A empresa de inteligência em blockchain Chainalysis divulgou seu relatório anual de crimes cripto em dezembro de 2025, confirmando o que os especialistas do setor temiam. O roubo total de criptomoedas atingiu $ 3,4 bilhões, com hackers norte-coreanos reivindicando $ 2,02 bilhões — um aumento de 51 % em relação ao recorde de $ 1,34 bilhão de 2024. Isso eleva o total acumulado de roubos de criptomoedas da RPDC para aproximadamente $ 6,75 bilhões.

O que torna o roubo de 2025 sem precedentes não é apenas o valor em dólares. É a eficiência. Os hackers norte-coreanos alcançaram esse valor recorde através de 74 % menos ataques conhecidos do que nos anos anteriores. O Lazarus Group evoluiu de um agente de ameaça disperso para um instrumento de precisão de guerra financeira.

A TRM Labs e a Chainalysis verificaram independentemente esses números, com a TRM observando que o crime cripto se tornou "mais organizado e profissionalizado" do que nunca. Os ataques são mais rápidos, melhor coordenados e muito mais fáceis de escalar do que nos ciclos anteriores.

O Assalto à Bybit: Uma Aula Magna em Ataques de Cadeia de Suprimentos​

Em 21 de fevereiro de 2025, o mundo das criptomoedas testemunhou o maior roubo individual da história. Hackers drenaram aproximadamente 401.000 ETH — no valor de $ 1,5 bilhão na época — da Bybit, uma das maiores exchanges de criptomoedas do mundo.

O ataque não foi uma violação de força bruta ou uma exploração de contrato inteligente. Foi um comprometimento magistral da cadeia de suprimentos. O Lazarus Group — operando sob o codinome "TraderTraitor" (também conhecido como Jade Sleet e Slow Pisces) — visou um desenvolvedor da Safe{Wallet}, a popular provedora de carteiras multi-assinatura. Ao injetar código malicioso na interface do usuário da carteira, eles contornaram inteiramente as camadas tradicionais de segurança.

Em 11 dias, os hackers lavaram 100 % dos fundos roubados. O CEO da Bybit, Ben Zhou, revelou no início de março que haviam perdido o rastro de quase $ 300 milhões. O FBI atribuiu oficialmente o ataque à Coreia do Norte em 26 de fevereiro de 2025, mas, àquela altura, os fundos já haviam desaparecido em protocolos de mixagem e serviços de ponte.

O hack da Bybit sozinho foi responsável por 74 % dos roubos de criptomoedas da Coreia do Norte em 2025 e demonstrou uma evolução assustadora nas táticas. Como observou a empresa de segurança Hacken, o Lazarus Group mostrou "preferências claras por serviços de lavagem de dinheiro em língua chinesa, serviços de ponte e protocolos de mixagem, com um ciclo de lavagem de 45 dias após grandes roubos".

O Manual do Lazarus: Do Phishing à Infiltração Profunda​

As operações cibernéticas da Coreia do Norte passaram por uma transformação fundamental. Longe vão os dias de simples ataques de phishing e comprometimentos de carteiras quentes. O Lazarus Group desenvolveu uma estratégia multifacetada que torna a detecção quase impossível.

A Estratégia Wagemole​

Talvez a tática mais insidiosa seja o que os pesquisadores chamam de "Wagemole" — infiltrar trabalhadores de TI disfarçados dentro de empresas de criptomoeda em todo o mundo. Sob identidades falsas ou através de empresas de fachada, esses agentes obtêm acesso legítimo aos sistemas corporativos, incluindo firmas de cripto, custodiantes e plataformas Web3.

Essa abordagem permite que os hackers contornem totalmente as defesas de perímetro. Eles não estão invadindo — eles já estão dentro.

Exploração Impulsionada por IA​

Em 2025, grupos patrocinados por Estados começaram a usar inteligência artificial para potencializar cada etapa de suas operações. A IA agora varre milhares de contratos inteligentes em minutos, identifica códigos exploráveis e automatiza ataques multi-chain. O que antes exigia semanas de análise manual agora leva horas.

A análise da Coinpedia revelou que os hackers norte-coreanos redefiniram o crime cripto por meio da integração de IA, tornando suas operações mais escaláveis e difíceis de detectar do que nunca.

Personificação de Executivos​

A mudança de explorações puramente técnicas para ataques baseados no fator humano foi uma tendência definidora de 2025. Empresas de segurança observaram que "perdas atípicas foram esmagadoramente devidas a falhas de controle de acesso, não a novas matemáticas on-chain". Os hackers passaram de front-ends envenenados e truques de interface multisig para a personificação de executivos e roubo de chaves.

Além da Bybit: O Cenário de Hacks em 2025​

Embora a Bybit tenha dominado as manchetes, as operações da Coreia do Norte se estenderam muito além de um único alvo:

• DMM Bitcoin (Japão): $ 305 milhões roubados, contribuindo para o encerramento eventual da exchange
• WazirX (Índia): $ 235 milhões drenados da maior exchange de criptomoedas da Índia
• Upbit (Coreia do Sul): $ 36 milhões apreendidos através da exploração da infraestrutura de assinatura no final de 2025

Esses não foram incidentes isolados — eles representaram uma campanha coordenada visando exchanges centralizadas, plataformas de finanças descentralizadas e provedores de carteiras individuais em várias jurisdições.

Contagens independentes identificaram mais de 300 incidentes de segurança de grande porte ao longo do ano, destacando vulnerabilidades sistêmicas em todo o ecossistema de criptomoedas.

A Conexão Huione: A Máquina de Lavagem de $ 4 Bilhões do Camboja​

No lado da lavagem de dinheiro, a Financial Crimes Enforcement Network (FinCEN) do Tesouro dos EUA identificou um nó crítico nas operações da Coreia do Norte: o Huione Group, com sede no Camboja.

A FinCEN descobriu que o Huione Group lavou pelo menos $ 4 bilhões em proventos ilícitos entre agosto de 2021 e janeiro de 2025. A empresa de blockchain Elliptic estima que o valor real possa estar mais próximo de $ 11 bilhões.

A investigação do Tesouro revelou que o Huione Group processou $ 37 milhões vinculados diretamente ao Lazarus Group, incluindo $ 35 milhões do hack da DMM Bitcoin. A empresa trabalhou diretamente com o Bureau Geral de Reconhecimento da Coreia do Norte, a principal organização de inteligência estrangeira de Pyongyang.

O que tornou o Huione particularmente perigoso foi a sua total falta de controles de conformidade. Nenhum dos seus três componentes de negócio — Huione Pay (bancário), Huione Guarantee (escrow) e Huione Crypto (exchange) — tinha políticas de AML / KYC publicadas.

A conexão da empresa com a família governante Hun do Camboja, incluindo o primo do Primeiro-Ministro Hun Manet como um dos principais acionistas, complicou os esforços de fiscalização internacional até que os EUA agissem para cortar o seu acesso ao sistema financeiro americano em maio de 2025.

A Resposta Regulatória: MiCA, PoR e Além​

A escala dos roubos de 2025 acelerou a ação regulatória em todo o mundo.

Estágio 2 do MiCA na Europa​

A União Europeia agilizou o "Estágio 2" do regulamento Markets in Crypto-Assets (MiCA), que agora exige auditorias trimestrais de fornecedores de software de terceiros para qualquer exchange que opere na Zona do Euro. O vetor de ataque de cadeia de suprimentos do hack da Bybit impulsionou esse requisito específico.

Mandatos de Proof-of-Reserves nos EUA​

Nos Estados Unidos, o foco mudou para requisitos obrigatórios de Proof-of-Reserves (PoR) em tempo real. A teoria: se as exchanges devem provar seus ativos on-chain em tempo real, saídas suspeitas tornam-se imediatamente visíveis.

Lei de Segurança Financeira Digital da Coreia do Sul​

Após o hack da Upbit, a Comissão de Serviços Financeiros da Coreia do Sul propôs a "Lei de Segurança Financeira Digital" em dezembro de 2025. A Lei imporia proporções obrigatórias de armazenamento a frio (cold storage), testes de intrusão rotineiros e monitoramento aprimorado de atividades suspeitas em todas as exchanges de criptomoedas.

O que as Defesas de 2026 Precisam​

A violação da Bybit forçou uma mudança fundamental na forma como as exchanges centralizadas gerenciam a segurança. Líderes da indústria identificaram várias atualizações críticas para 2026:

Migração para Computação Multipartidária (MPC)​

A maioria das plataformas de alto nível migrou de multi-sigs tradicionais de contratos inteligentes para a tecnologia de Computação Multipartidária (MPC). Ao contrário da configuração Safe{Wallet} explorada em 2025, o MPC divide as chaves privadas em fragmentos (shards) que nunca existem em um único local, tornando técnicas de falsificação de interface (UI-spoofing) e "Ice Phishing" quase impossíveis de executar.

Padrões de Armazenamento a Frio (Cold Storage)​

Exchanges de custódia respeitáveis agora implementam proporções de 90-95% de armazenamento a frio, mantendo a grande maioria dos fundos dos usuários offline em módulos de segurança de hardware. Carteiras multi-assinatura exigem que várias partes autorizadas aprovem transações de grande valor.

Auditoria da Cadeia de Suprimentos​

A principal lição de 2025 é que a segurança se estende além da blockchain para toda a pilha de software. As exchanges devem auditar seus relacionamentos com fornecedores com o mesmo rigor que aplicam ao seu próprio código. O hack da Bybit teve sucesso devido à infraestrutura de terceiros comprometida, não a vulnerabilidades da própria exchange.

Defesa do Fator Humano​

O treinamento contínuo sobre tentativas de phishing e práticas seguras de senhas tornou-se obrigatório, já que o erro humano continua sendo uma das causas primárias de violações. Especialistas em segurança recomendam exercícios periódicos de red e blue team para identificar pontos fracos na gestão de processos de segurança.

Atualizações Resistentes à Computação Quântica​

Olhando mais para o futuro, a criptografia pós-quântica (PQC) e o hardware protegido contra computação quântica estão surgindo como defesas futuras críticas. O CAGR projetado de 15,2% do mercado de carteiras frias de 2026 a 2033 reflete a confiança institucional na evolução da segurança.

O Caminho a Seguir​

O aviso de encerramento da Chainalysis em seu relatório de 2025 deve ressoar em toda a indústria: "O desempenho recorde do país em 2025 — alcançado com 74% menos ataques conhecidos — sugere que podemos estar vendo apenas a parte mais visível de suas atividades. O desafio para 2026 será detectar e prevenir essas operações de alto impacto antes que atores afiliados à RPDC inflijam outro incidente na escala da Bybit."

A Coreia do Norte provou que hackers patrocinados pelo Estado podem superar as defesas da indústria quando motivados pela evasão de sanções e pelo financiamento de armas. O total cumulativo de $ 6,75 bilhões representa não apenas criptomoedas roubadas — representa mísseis, programas nucleares e a sobrevivência do regime.

Para a indústria de criptomoedas, 2026 deve ser o ano da transformação da segurança. Não melhorias incrementais, mas uma rearquitetura fundamental de como os ativos são armazenados, acessados e transferidos. O Lazarus Group mostrou que as melhores práticas de ontem são as vulnerabilidades de hoje.

Os riscos nunca foram tão altos.

---

Garantir a infraestrutura blockchain requer vigilância constante e práticas de segurança líderes do setor. BlockEden.xyz fornece infraestrutura de nós de nível empresarial com arquitetura de segurança em várias camadas, ajudando desenvolvedores e empresas a construir sobre bases projetadas para resistir a ameaças em evolução.

A lavagem de dinheiro com criptomoedas explodiu para $82 bilhões em 2025 — um aumento de oito vezes em relação aos$ 10 bilhões de apenas cinco anos antes. Mas a verdadeira história não é a soma impressionante. É a industrialização do próprio crime financeiro. Redes profissionais de lavagem agora processam $ 44 milhões diariamente em mercados sofisticados baseados no Telegram, a Coreia do Norte transformou o roubo de cripto em arma para financiar programas nucleares, e a infraestrutura que permite golpes globais cresceu 7.325 vezes mais rápido do que a adoção legítima de cripto. A era dos criminosos de cripto amadores acabou. Entramos na era do crime em blockchain organizado e profissionalizado.

Na véspera de Natal de 2025, enquanto a maior parte do mundo cripto estava de folga, invasores enviaram uma atualização maliciosa para a extensão do Chrome da Trust Wallet. Em 48 horas, $ 8,5 milhões desapareceram de 2.520 carteiras. As frases semente (seed phrases) de milhares de usuários foram coletadas silenciosamente, disfarçadas como dados de telemetria de rotina. Mas este não foi um incidente isolado — foi o ponto culminante de um ataque à cadeia de suprimentos que vinha se espalhando pelo ecossistema de desenvolvimento cripto há semanas.

A campanha Shai-Hulud, nomeada em homenagem aos vermes de areia de Duna, representa o ataque à cadeia de suprimentos npm mais agressivo de 2025. Comprometeu mais de 700 pacotes npm, infectou 27.000 repositórios GitHub e expôs aproximadamente 14.000 segredos de desenvolvedores em 487 organizações. O dano total: mais de $ 58 milhões em criptomoedas roubadas, tornando-o um dos ataques direcionados a desenvolvedores mais dispendiosos na história das criptos.

A Anatomia de um Worm de Cadeia de Suprimentos​

Ao contrário do malware típico que exige que os usuários baixem softwares maliciosos, os ataques à cadeia de suprimentos envenenam as ferramentas em que os desenvolvedores já confiam. A campanha Shai-Hulud transformou em arma o npm, o gerenciador de pacotes que alimenta a maior parte do desenvolvimento JavaScript — incluindo quase todas as carteiras cripto, frontends DeFi e aplicações Web3.

O ataque começou em setembro de 2025 com a primeira onda, resultando em aproximadamente $ 50 milhões em roubo de criptomoedas. Mas foi "A Segunda Vinda" em novembro que demonstrou a verdadeira sofisticação da operação. Entre 21 e 23 de novembro, os invasores comprometeram a infraestrutura de desenvolvimento de grandes projetos, incluindo Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase e Postman.

O mecanismo de propagação era elegante e terrível. Quando o Shai-Hulud infecta um pacote npm legítimo, ele injeta dois arquivos maliciosos — setup_bun.js e bun_environment.js — acionados por um script de pré-instalação (preinstall script). Diferente do malware tradicional que é ativado após a instalação, esse payload é executado antes da conclusão da instalação e até mesmo quando a instalação falha. No momento em que os desenvolvedores percebem que algo está errado, suas credenciais já foram roubadas.

O worm identifica outros pacotes mantidos por desenvolvedores comprometidos, injeta automaticamente código malicioso e publica novas versões comprometidas no registro npm. Essa propagação automatizada permitiu que o malware se espalhasse exponencialmente sem intervenção direta do invasor.

De Segredos de Desenvolvedores a Carteiras de Usuários​

A conexão entre pacotes npm comprometidos e o hack da Trust Wallet revela como os ataques à cadeia de suprimentos cascateiam de desenvolvedores para usuários finais.

A investigação da Trust Wallet revelou que seus segredos do GitHub de desenvolvedores foram expostos durante o surto do Shai-Hulud em novembro. Essa exposição deu aos invasores acesso ao código-fonte da extensão do navegador e, crucialmente, à chave de API da Chrome Web Store. Armados com essas credenciais, os invasores ignoraram completamente o processo de lançamento interno da Trust Wallet.

Em 24 de dezembro de 2025, a versão 2.68 da extensão para Chrome da Trust Wallet apareceu na Chrome Web Store — publicada por invasores, não pelos desenvolvedores da Trust Wallet. O código malicioso foi projetado para percorrer todas as carteiras armazenadas na extensão e acionar uma solicitação de frase mnemônica para cada carteira. Independentemente de os usuários se autenticarem com senha ou biometria, suas frases semente foram exfiltradas silenciosamente para servidores controlados por invasores, disfarçadas de dados analíticos legítimos.

Os fundos roubados foram divididos da seguinte forma: aproximadamente $ 3 milhões em Bitcoin, mais de $ 3 milhões em Ethereum e quantias menores em Solana e outros tokens. Em poucos dias, os invasores começaram a lavar fundos por meio de corretoras centralizadas — $ 3,3 milhões para a ChangeNOW, $ 340.000 para a FixedFloat e $ 447.000 para a KuCoin.

O Interruptor do Homem Morto (Dead Man's Switch)​

Talvez o mais perturbador seja o mecanismo de "interruptor do homem morto" do malware Shai-Hulud. Se o worm não conseguir se autenticar com o GitHub ou npm — se seus canais de propagação e exfiltração forem cortados — ele apagará todos os arquivos no diretório home do usuário.

Este recurso destrutivo serve para múltiplos propósitos. Ele pune tentativas de detecção, cria um caos que mascara os rastros dos invasores e fornece alavancagem caso os defensores tentem cortar a infraestrutura de comando e controle. Para desenvolvedores que não mantiveram backups adequados, uma tentativa de limpeza fracassada poderia resultar em perda catastrófica de dados, além do roubo de credenciais.

Os invasores também demonstraram sofisticação psicológica. Quando a Trust Wallet anunciou a violação, os mesmos invasores lançaram uma campanha de phishing explorando o pânico resultante, criando sites falsos com a marca Trust Wallet pedindo aos usuários que inserissem suas frases semente de recuperação para "verificação da carteira". Algumas vítimas foram comprometidas duas vezes.

A Questão do Insider​

O cofundador da Binance, Changpeng Zhao (CZ), sugeriu que a exploração da Trust Wallet foi "muito provavelmente" realizada por um insider ou alguém com acesso prévio a permissões de implantação. A própria análise da Trust Wallet sugere que os invasores podem ter ganhado o controle de dispositivos de desenvolvedores ou obtido permissões de implantação antes de 8 de dezembro de 2025.

Pesquisadores de segurança observaram padrões que sugerem um possível envolvimento de um estado-nação. O momento escolhido — a véspera de Natal — segue um roteiro comum de ameaças persistentes avançadas (APT): atacar durante feriados, quando as equipes de segurança estão com pouco pessoal. A sofisticação técnica e a escala da campanha Shai-Hulud, combinadas com a rápida lavagem de fundos, sugerem recursos que vão além das operações criminosas típicas.

Por que as extensões de navegador são exclusivamente vulneráveis​

O incidente da Trust Wallet destaca uma vulnerabilidade fundamental no modelo de segurança cripto. As extensões de navegador operam com privilégios extraordinários — elas podem ler e modificar páginas web, acessar o armazenamento local e, no caso de carteiras cripto, deter as chaves de milhões de dólares.

A superfície de ataque é massiva:

• Mecanismos de atualização: As extensões são atualizadas automaticamente, e uma única atualização comprometida atinge todos os usuários
• Segurança de chaves de API: As chaves de API da Chrome Web Store, se vazadas, permitem que qualquer pessoa publique atualizações
• Suposições de confiança: Os usuários assumem que as atualizações de lojas oficiais são seguras
• Timing de feriados: O monitoramento de segurança reduzido durante os feriados permite um tempo de permanência (dwell time) mais longo

Este não é o primeiro ataque de extensão de navegador a usuários de cripto. Incidentes anteriores incluem a campanha GlassWorm visando extensões do VS Code e a fraude da extensão FoxyWallet no Firefox. Mas a violação da Trust Wallet foi a maior em termos de valor em dólares e demonstrou como os comprometimentos da cadeia de suprimentos (supply chain) amplificam o impacto dos ataques de extensão.

A resposta da Binance e o precedente SAFU​

A Binance confirmou que os usuários afetados da Trust Wallet seriam totalmente reembolsados por meio de seu Fundo de Ativos Seguros para Usuários (SAFU). Este fundo, estabelecido após um hack na exchange em 2018, mantém uma parte das taxas de negociação em reserva especificamente para cobrir perdas de usuários em incidentes de segurança.

A decisão de reembolsar estabelece um precedente importante — e cria uma questão interessante sobre a alocação de responsabilidade. A Trust Wallet foi comprometida sem culpa direta dos usuários, que simplesmente abriram suas carteiras durante a janela afetada. No entanto, a causa raiz foi um ataque à cadeia de suprimentos que comprometeu a infraestrutura do desenvolvedor, que, por sua vez, foi possibilitado por vulnerabilidades mais amplas do ecossistema no npm.

A resposta imediata da Trust Wallet incluiu a expiração de todas as APIs de lançamento para bloquear novas versões por duas semanas, a denúncia do domínio de exfiltração malicioso ao seu registrador (resultando em suspensão imediata) e o lançamento de uma versão limpa 2.69. Os usuários foram aconselhados a migrar fundos para novas carteiras imediatamente se tivessem desbloqueado a extensão entre 24 e 26 de dezembro.

Lições para o ecossistema cripto​

A campanha Shai-Hulud expõe vulnerabilidades sistêmicas que se estendem muito além da Trust Wallet:

Para Desenvolvedores​

Fixe dependências explicitamente. A exploração de scripts de pré-instalação funciona porque as instalações do npm podem executar código arbitrário. Fixar versões conhecidas como limpas evita que atualizações automáticas introduzam pacotes comprometidos.

Trate segredos como comprometidos. Qualquer projeto que tenha baixado pacotes npm entre 21 de novembro e dezembro de 2025 deve assumir a exposição de credenciais. Isso significa revogar e regenerar tokens npm, GitHub PATs, chaves SSH e credenciais de provedores de nuvem.

Implemente o gerenciamento de segredos adequado. Chaves de API para infraestrutura crítica, como a publicação em lojas de aplicativos, nunca devem ser armazenadas no controle de versão, mesmo em repositórios privados. Use módulos de segurança de hardware ou serviços dedicados de gerenciamento de segredos.

Imponha MFA resistente a phishing. A autenticação padrão de dois fatores pode ser contornada por atacantes sofisticados. Chaves de hardware como YubiKeys fornecem uma proteção mais forte para contas de desenvolvedores e CI / CD.

Para Usuários​

Diversifique a infraestrutura da carteira. Não mantenha todos os fundos em extensões de navegador. As carteiras de hardware (hardware wallets) fornecem isolamento contra vulnerabilidades de software — elas podem assinar transações sem nunca expor as frases semente (seed phrases) a navegadores potencialmente comprometidos.

Assuma que as atualizações podem ser maliciosas. O modelo de atualização automática que torna o software conveniente também o torna vulnerável. Considere desativar as atualizações automáticas para extensões críticas de segurança e verificar manualmente as novas versões.

Monitore a atividade da carteira. Serviços que alertam sobre transações incomuns podem fornecer um aviso antecipado de comprometimento, potencialmente limitando as perdas antes que os atacantes esvaziem carteiras inteiras.

Para a Indústria​

Fortaleça o ecossistema npm. O registro npm é uma infraestrutura crítica para o desenvolvimento Web3, mas carece de muitos recursos de segurança que impediriam a propagação do tipo worm. A assinatura obrigatória de código, builds reproduzíveis e detecção de anomalias para atualizações de pacotes poderiam elevar significativamente a barra para os atacantes.

Repense a segurança das extensões de navegador. O modelo atual — onde as extensões são atualizadas automaticamente e têm permissões amplas — é fundamentalmente incompatível com os requisitos de segurança para manter ativos significativos. Ambientes de execução em sandbox, atualizações atrasadas com revisão do usuário e permissões reduzidas poderiam ajudar.

Coordene a resposta a incidentes. A campanha Shai-Hulud afetou centenas de projetos em todo o ecossistema cripto. Um melhor compartilhamento de informações e uma resposta coordenada poderiam ter limitado os danos à medida que pacotes comprometidos eram identificados.

O futuro da segurança da cadeia de suprimentos em cripto​

A indústria de criptomoedas historicamente concentrou os esforços de segurança em auditorias de contratos inteligentes, armazenamento a frio (cold storage) de exchanges e proteção contra phishing voltada para o usuário. A campanha Shai-Hulud demonstra que os ataques mais perigosos podem vir de ferramentas de desenvolvedor comprometidas — infraestrutura com a qual os usuários de cripto nunca interagem diretamente, mas que sustenta cada aplicação que eles usam.

À medida que as aplicações Web3 se tornam mais complexas, seus gráficos de dependência aumentam. Cada pacote npm, cada GitHub action, cada integração de CI / CD representa um vetor de ataque potencial. A resposta da indústria ao Shai-Hulud determinará se isso se tornará um alerta único ou o início de uma era de ataques à cadeia de suprimentos na infraestrutura cripto.

Por enquanto, os atacantes permanecem não identificados. Aproximadamente $2,8 milhões dos fundos roubados da Trust Wallet permanecem nas carteiras dos atacantes, enquanto o restante foi lavado por meio de exchanges centralizadas e pontes cross-chain. Os mais de$ 50 milhões em roubos anteriores da campanha Shai-Hulud desapareceram em grande parte nas profundezas pseudônimas do blockchain.

O verme da areia (sandworm) penetrou profundamente nas fundações das criptomoedas. Erradicá-lo exigirá repensar suposições de segurança que a indústria deu como certas desde os seus primórdios.

---

Construir aplicações Web3 seguras requer infraestrutura robusta. O BlockEden.xyz fornece nós RPC de nível empresarial e APIs com monitoramento integrado e detecção de anomalias, ajudando os desenvolvedores a identificar atividades incomuns antes que elas impactem os usuários. Explore nosso marketplace de APIs para construir em fundações focadas em segurança.

As violações de carteiras individuais saltaram para 158.000 incidentes, afetando 80.000 vítimas únicas em 2025, resultando em $ 713 milhões roubados apenas de carteiras pessoais. Isso não é um hack de exchange ou uma exploração de protocolo — são usuários comuns de cripto perdendo suas economias para invasores que evoluíram muito além de simples e-mails de phishing. As violações de carteiras pessoais agora representam 37 % de todo o valor de cripto roubado, um aumento em relação aos apenas 7,3 % em 2022. A mensagem é clara: se você possui cripto, você é um alvo, e as estratégias de proteção de ontem não são mais suficientes.

Apenas no primeiro semestre de 2025, atacantes drenaram mais de $2,3 bilhões de protocolos de cripto — mais do que todo o ano de 2024 combinado. Vulnerabilidades de controle de acesso sozinhas foram responsáveis por$ 1,6 bilhão dessa devastação. O hack da Bybit em fevereiro de 2025, um ataque à cadeia de suprimentos de $ 1,4 bilhão, demonstrou que mesmo as maiores exchanges permanecem vulneráveis. Ao entrarmos em 2026, a indústria de auditoria de contratos inteligentes enfrenta seu momento mais crítico: evoluir ou assistir a mais bilhões desaparecerem nas carteiras dos atacantes.

Em 21 de fevereiro de 2025, hackers norte-coreanos roubaram $ 1,5 bilhão em criptomoeda da exchange sediada em Dubai, Bybit, em aproximadamente 30 minutos. Não foi apenas o maior roubo de cripto da história — se a Bybit fosse um banco, ele seria classificado como o maior assalto a banco já registrado pelo Guinness World Records.

O ataque não explorou uma falha de contrato inteligente ou forçou uma chave privada por força bruta. Em vez disso, os hackers comprometeram o laptop de um único desenvolvedor em um provedor de carteira terceirizado, esperaram pacientemente por semanas e atacaram quando os funcionários da Bybit estavam aprovando o que parecia ser uma transferência interna de rotina. No momento em que alguém percebeu que algo estava errado, 500.000 ETH haviam desaparecido em um labirinto de carteiras controladas pelo Lazarus Group da Coreia do Norte.

Esta é a história de como isso aconteceu, por que é importante e o que revela sobre o estado da segurança cripto em 2025.

O Ataque: Uma Aula de Paciência e Precisão​

O hack da Bybit não foi um ataque de oportunidade imediato. Foi uma operação cirúrgica que se desenrolou ao longo de semanas.

Fase 1: Comprometendo o Desenvolvedor​

Em 4 de fevereiro de 2025, um desenvolvedor da Safe{Wallet} — uma plataforma de carteira multiassinatura amplamente utilizada na qual a Bybit confiava para garantir grandes transferências — baixou o que parecia ser um projeto Docker legítimo chamado "MC-Based-Stock-Invest-Simulator-main". O arquivo provavelmente chegou por meio de um ataque de engenharia social, possivelmente disfarçado de oportunidade de emprego ou ferramenta de investimento.

O contêiner Docker malicioso estabeleceu imediatamente uma conexão com um servidor controlado pelo invasor. A partir daí, os hackers extraíram tokens de sessão da AWS da estação de trabalho do desenvolvedor — as credenciais temporárias que concedem acesso à infraestrutura em nuvem da Safe{Wallet}.

Com esses tokens, os invasores contornaram inteiramente a autenticação multifator. Eles agora tinham as chaves do reino da Safe{Wallet}.

Fase 2: O Código Adormecido​

Em vez de agir imediatamente, os invasores injetaram um código JavaScript sutil na interface web da Safe{Wallet}. Esse código foi projetado especificamente para a Bybit — ele permaneceria adormecido até detectar que um funcionário da Bybit havia aberto sua conta Safe e estava prestes a autorizar uma transação.

A sofisticação aqui é notável. Todo o aplicativo Safe{Wallet} funcionava normalmente para todos os outros usuários. Apenas a Bybit foi visada.

Fase 3: O Assalto​

Em 21 de fevereiro de 2025, os funcionários da Bybit iniciaram o que deveria ter sido uma transferência de rotina de uma cold wallet (armazenamento offline seguro) para uma warm wallet (para negociação ativa). Isso exigia várias assinaturas de pessoal autorizado — uma prática de segurança padrão chamada multisig.

Quando os signatários abriram a Safe{Wallet} para aprovar a transação, a interface exibia o que parecia ser o endereço de destino correto. Mas o código malicioso já havia trocado o comando por um diferente. Os funcionários, sem saber, aprovaram uma transação que esvaziou toda a cold wallet da Bybit.

Em poucos minutos, 500.000 ETH — no valor de aproximadamente $ 1,5 bilhão — fluíram para endereços controlados pelos invasores.

O Exploit Técnico: Delegatecall​

A vulnerabilidade principal foi a função delegatecall do Ethereum, que permite que um contrato inteligente execute o código de outro contrato dentro de seu próprio contexto de armazenamento. Os invasores enganaram os signatários da Bybit para alterar a lógica do contrato de sua carteira para uma versão maliciosa, concedendo efetivamente controle total aos hackers.

Isso não foi um bug no Ethereum ou no protocolo central da Safe{Wallet}. Foi um ataque à camada humana — o momento em que funcionários de confiança verificam e aprovam transações.

Lazarus Group da Coreia do Norte: Os Hackers Mais Lucrativos do Mundo​

Em 24 horas após o ataque, o investigador de blockchain ZachXBT enviou evidências à Arkham Intelligence conectando definitivamente o hack ao Lazarus Group da Coreia do Norte. O FBI confirmou essa atribuição em 26 de fevereiro de 2025.

O Lazarus Group — também conhecido como TraderTraitor e APT38 — opera sob o Escritório Geral de Reconhecimento da Coreia do Norte. Não é uma gangue criminosa que busca lucro para enriquecimento pessoal. É uma operação patrocinada pelo Estado cujos rendimentos financiam os programas de armas nucleares e mísseis balísticos da Coreia do Norte.

Os números são impressionantes:

• Somente em 2025: Hackers norte-coreanos roubaram $ 2,02 bilhões em criptomoeda
• A fatia da Bybit: $ 1,5 bilhão (74 % do total arrecadado pela Coreia do Norte em 2025 em um único ataque)
• Desde 2017: A Coreia do Norte roubou mais de $ 6,75 bilhões em ativos cripto
• 2025 vs 2024: Aumento de 51 % em relação ao ano anterior no valor roubado

A Coreia do Norte foi responsável por 59 % de todas as criptomoedas roubadas globalmente em 2025 e 76 % de todos os comprometimentos de exchanges. Nenhum outro ator de ameaça chega perto.

A Industrialização do Roubo de Cripto​

O que torna a Coreia do Norte diferente não é apenas a escala — é a sofisticação de sua operação.

Engenharia Social sobre Exploits Técnicos​

A maioria dos grandes hacks de 2025 foi perpetrada por meio de engenharia social, em vez de vulnerabilidades técnicas. Isso representa uma mudança fundamental. Os hackers não estão mais caçando prioritariamente bugs de contratos inteligentes ou fraquezas criptográficas. Eles estão visando pessoas.

Operativos do Lazarus Group se infiltraram como trabalhadores de TI dentro de empresas de cripto. Eles se passaram por executivos. Eles enviaram ofertas de emprego contendo malware para desenvolvedores. O ataque à Bybit começou com um desenvolvedor baixando um simulador de negociação de ações falso — um vetor clássico de engenharia social.

A Lavanderia Chinesa​

Roubar cripto é apenas metade do desafio. Convertê-las em fundos utilizáveis sem ser pego é igualmente complexo.

Em vez de sacar diretamente, a Coreia do Norte terceirizou a lavagem de dinheiro para o que os investigadores chamam de "Lavanderia Chinesa" — uma vasta rede de banqueiros clandestinos, corretores OTC e intermediários de lavagem baseada em comércio. Esses atores lavam ativos roubados entre diferentes chains, jurisdições e canais de pagamento.

Até 20 de março de 2025 — menos de um mês após o hack da Bybit — o CEO Ben Zhou informou que os hackers já haviam convertido 86,29 % do ETH roubado em Bitcoin por meio de várias carteiras intermediárias, exchanges descentralizadas e pontes cross-chain. O ciclo de lavagem de 45 dias após grandes roubos tornou-se um padrão previsível.

Apesar desses esforços, Zhou observou que 88,87 % dos ativos roubados permaneciam rastreáveis. Mas "rastreável" não significa "recuperável". Os fundos fluem através de jurisdições sem relação de cooperação com as autoridades policiais dos EUA ou internacionais.

Resposta da Bybit : Gestão de Crise sob Fogo Cruzado​

Dentro de 30 minutos após a descoberta da violação, o CEO Ben Zhou assumiu o comando e começou a fornecer atualizações em tempo real no X (antigo Twitter). Sua mensagem foi direta : "A Bybit é solvente, mesmo que esta perda por hack não seja recuperada ; todos os ativos dos clientes são lastreados 1 para 1, podemos cobrir a perda."

A exchange processou mais de 350.000 solicitações de saque em 12 horas — um sinal para os usuários de que, apesar da perda catastrófica, as operações continuariam normalmente.

Financiamento de Emergência​

Em 72 horas, a Bybit recompôs suas reservas ao garantir 447.000 ETH por meio de financiamento de emergência de parceiros, incluindo Galaxy Digital, FalconX e Wintermute. A Bitget emprestou 40.000 ETH para garantir que os saques continuassem ininterruptos — um empréstimo que a Bybit pagou em três dias.

A empresa de cibersegurança Hacken realizou uma auditoria de prova de reservas confirmando que os principais ativos da Bybit estavam lastreados por mais de 100 % de colateral. A transparência foi sem precedentes para uma crise desta magnitude.

O Programa de Bounty​

Zhou declarou "guerra contra Lazarus" e lançou um programa global de bounty oferecendo recompensas de até 10 % por informações que levassem ao congelamento de ativos. Até o final do ano, a Bybit pagou $ 2,18 milhões em USDT para colaboradores que ajudaram a rastrear ou recuperar fundos.

O Veredito do Mercado​

Ao final de 2025, a Bybit havia ultrapassado 80 milhões de usuários globalmente, registrou $ 7,1 bilhões em volume diário de negociação e classificou-se em 5º lugar entre as exchanges de criptomoedas spot. A resposta à crise tornou-se um estudo de caso sobre como sobreviver a um hack catastrófico.

2025 : O Ano em que o Roubo de Cripto Atingiu $ 3,4 Bilhões​

O hack da Bybit dominou as manchetes, mas fazia parte de um padrão mais amplo. O total de roubos de criptomoedas atingiu $ 3,4 bilhões em 2025 — um novo recorde e o terceiro ano consecutivo de aumentos.

Estatísticas principais :

• 2023 : $ 2 bilhões roubados
• 2024 : $ 2,2 bilhões roubados
• 2025 : $ 3,4 bilhões roubados

A participação da Coreia do Norte cresceu de aproximadamente metade para quase 60 % de todos os roubos de cripto. A RPDC realizou roubos maiores com menos incidentes, demonstrando aumento de eficiência e sofisticação.

Lições Aprendidas : Onde a Segurança Falhou​

O hack da Bybit expôs vulnerabilidades críticas que se estendem muito além de uma única exchange.

O Risco de Terceiros é Existencial​

A Bybit não teve uma falha de segurança. A Safe{Wallet} teve. Mas a Bybit sofreu as consequências.

A indústria cripto construiu cadeias de dependência complexas onde as exchanges dependem de provedores de carteiras, os provedores de carteiras dependem de infraestrutura em nuvem e a infraestrutura em nuvem depende de estações de trabalho de desenvolvedores individuais. Um comprometimento em qualquer lugar desta cadeia pode gerar uma cascata catastrófica.

O Armazenamento a Frio Não é Suficiente​

A indústria há muito trata as cold wallets como o padrão ouro de segurança. Mas os fundos da Bybit estavam em armazenamento a frio quando foram roubados. A vulnerabilidade estava no processo de movê-los — a etapa de aprovação humana que a multissig foi projetada para proteger.

Quando as transferências se tornam rotineiras, os signatários desenvolvem uma falsa sensação de segurança, tratando as aprovações como formalidades em vez de decisões críticas de segurança. O ataque à Bybit explorou exatamente esse padrão comportamental.

A UI é um Ponto Único de Falha​

A segurança multissig pressupõe que os signatários podem verificar o que estão aprovando. Mas se a interface que exibe os detalhes da transação estiver comprometida, a verificação torna-se sem sentido. Os atacantes mostraram uma coisa aos signatários enquanto executavam outra.

Simulações de pré-assinatura — permitindo que os funcionários visualizem o destino real de uma transação antes da aprovação — poderiam ter evitado este ataque. Assim como atrasos para saques de grande valor, permitindo tempo para revisão adicional.

A Engenharia Social Vence a Segurança Técnica​

Você pode ter a segurança criptográfica mais sofisticada do mundo, e um único funcionário baixando o arquivo errado pode contornar tudo isso. O ponto fraco na segurança das criptomoedas é cada vez mais humano, não técnico.

Implicações Regulatórias e do Setor​

O hack da Bybit já está moldando o cenário regulatório.

Espere requisitos obrigatórios para :

• Módulos de segurança de hardware (HSMs) para gestão de chaves
• Monitoramento de transações em tempo real e detecção de anomalias
• Auditorias de segurança regulares de terceiros
• Frameworks de AML aprimorados e atrasos em transações para grandes transferências

Segurança e conformidade estão se tornando requisitos básicos para o acesso ao mercado. Projetos que não puderem demonstrar uma gestão de chaves robusta, design de permissões e frameworks de segurança credíveis ficarão isolados de parceiros bancários e usuários institucionais.

O que Isso Significa para o Setor​

O hack da Bybit revela uma verdade desconfortável: o modelo de segurança das criptomoedas é tão forte quanto o seu elo operacional mais fraco.

O setor investiu pesadamente em segurança criptográfica — provas de conhecimento zero, assinaturas de limite, enclaves seguros. Mas a criptografia mais sofisticada é irrelevante se um invasor conseguir enganar um humano para aprovar uma transação maliciosa.

Para as exchanges, a mensagem é clara: a inovação em segurança deve se estender além da tecnologia para abranger processos operacionais, gestão de risco de terceiros e treinamento contínuo de funcionários. Auditorias regulares, compartilhamento colaborativo de inteligência de ameaças e planejamento de resposta a incidentes não são mais opcionais.

Para os usuários, a lição é igualmente dura: até mesmo as maiores exchanges com a segurança mais sofisticada podem ser comprometidas. Autocustódia, carteiras de hardware e armazenamento distribuído de ativos continuam sendo as estratégias de longo prazo mais seguras — mesmo que sejam menos convenientes.

Conclusão​

O Lazarus Group da Coreia do Norte industrializou o roubo de criptomoedas. Eles roubaram mais de $ 6,75 bilhões desde 2017, com 2025 marcando o seu ano de maior sucesso até agora. O hack da Bybit sozinho — $ 1,5 bilhão em uma única operação — demonstra capacidades que deixariam qualquer agência de inteligência com inveja.

O setor cripto está em uma corrida armamentista com hackers patrocinados por estados que têm paciência ilimitada, capacidades técnicas sofisticadas e nenhum medo de consequências. O ataque à Bybit teve sucesso não por causa de qualquer exploit novo, mas porque os invasores entenderam que os humanos, não o código, são o elo mais fraco.

Até que o setor trate a segurança operacional com o mesmo rigor que aplica à segurança criptográfica, esses ataques continuarão. A questão não é se outro hack de um bilhão de dólares acontecerá — é quando, e se o alvo responderá de forma tão eficaz quanto a Bybit fez.

---

Este artigo é apenas para fins educacionais e não deve ser considerado aconselhamento financeiro. Sempre realize sua própria pesquisa e priorize a segurança ao interagir com exchanges e carteiras de criptomoedas.