Exchange de criptomoedas Bybit sofre ataque hacker e perde US$ 1,4 bilhão | Criptomoedas

A corretora de criptomoedas Bybit sofreu um ataque hacker e teve 401.346 unidades da moeda digital ether (ETH), o equivalente a US$ 1,4 bilhão, transferidos para uma carteira digital desconhecida. Na rede social X (Twitter), o CEO e cofundador da Bybit, Ben Zhou, admitiu o ataque em postagem na qual disse que vai continuar permitindo saques dos usuários.

No mundo das exchanges de criptoativos, as empresas costumam manter dois tipos de carteiras digitais, uma quente, com acesso à internet, e outra fria, que costuma ficar em um hardware específico. A carteira quente é usada para os fluxos do dia a dia, enquanto a fria é onde ficam os fundos dos clientes. Em sua postagem, Zhou explicou que o ataque ocorreu ao transferir valores da carteira fria para a quente, com uma mudança no contrato em que seria assinada digitalmente a transação.

“A mensagem de assinatura era para alterar a lógica do contrato inteligente de nossa carteira fria ETH. Isso resultou em um hacker assumindo o controle da carteira fria ETH específica que assinamos e transferindo todo o ETH na carteira fria para esse endereço não identificado”, admitiu. Zhou disse que a Bybit possui outras carteiras frias para fazer a custódia das criptomoedas dos clientes e elas não foram atingidas.

Em live após o ataque hacker, Zhou garantiu que a principal reserva da Bybit, que é a de bitcoin (BTC) não foi comprometida e que o tesouro da exchange é capaz de cobrir todo o valor que foi roubado. “Já processamos 70% dos saques e estamos processando a última parte. Vimos um aumento de 100 vezes no número normal de saques. Nós faremos o melhor para buscar o hacker e trabalharemos com a polícia, mas no pior cenário vamos cobrir os fundos que os clientes perderam“, prometeu.

Depois de roubar os fundos da carteira fria da Bybit, o hacker começou a movimentar as moedas digitais roubadas para novas carteiras, onde elas poderiam ser vendidas. A empresa de análise de blockchain Arkham informou que o cibercriminoso detém agora US$ 1,37 bilhão em ether e já usou 53 carteiras.

Segundo Alexandre Senra, procurador da República e coordenador do MBA em cripto da Trevisan, como o ether é uma criptomoeda não congelável, que circula por uma rede descentralizada, não há entidade que possa impedir as criptomoedas de continuarem a circular sob posse do hacker. Contudo, é possível enxergar por meio de exploradores de blocos como o Etherscan onde estão os ativos agora. “As movimentações não são anônimas, mas não conseguimos saber quem está por trás das carteiras. Conseguimos acompanhar os ativos, porém não descobrir quem é o hacker”, explica.

Há pouco, o investigador especializado no universo blockchain, ZachXBT, afirmou ter identificado o Lazarus Group, da Coreia do Norte, como o autor do ataque à Bybit. A Arkham disse no X que as informações enviadas por ZachXBT incluíram uma análise detalhada de transações de teste e carteiras conectadas usadas antes do exploit, bem como vários gráficos forenses e análises de tempo. “A submissão foi compartilhada com a equipe da Bybit em apoio à investigação. Desejamos a todos o melhor”, postou a empresa de análise.

Senra aponta que várias ferramentas colocaram marcadores nos endereços usados pelo golpista, de modo que se ele tentar enviar os ativos para outra corretora como Binance e Coinbase, elas poderiam travar a transação antes que o criminoso consiga converter o criptoativo em dinheiro fiduciário. A outra possibilidade seria se ele tentasse converter seus ETH para alguma moeda digital congelável como a stablecoin USDT, da Tether. Entretanto, é baixa a possibilidade disso ocorrer. O mais provável, na opinião do especialista, é que o cibercriminoso use uma ferramenta de embaralhamento de transações como o Tornado Cash para tornar mais difícil o rastreio dos seus ativos.

Um ponto que chamou a atenção da comunidade cripto é que muitas das carteiras para as quais as criptomoedas roubadas foram enviadas são endereços não suspeitos. Ou seja, supostamente haveria uma espécie de comportamento “Robin Hood” do hacker, que teria enviado quantias de ether para carteiras digitais aleatórias para encobrir seus rastros. Todavia, isso ainda não foi confirmado.

Em relação aos clientes, vale lembrar que por ora ninguém foi lesado, pois a Bybit está permitindo que os saques continuem normalmente. O usuário de uma exchange de criptomoedas, conforme Senra explica, tem um crédito com essa empresa no valor equivalente ao que aparece como seu saldo de criptomoedas. “Nenhum cliente da Bybit foi vítima, a vítima foi a própria Bybit. Só haveria vítimas se alguém tentasse sacar o crédito e a exchange não pudesse pagar, algo que ainda não ocorreu.”

Em nota enviada ao Valor, a Bybit informou que está trabalhando com os principais especialistas forenses em blockchain para rastrear os fundos roubados e resolver a situação. “Nossa equipe de segurança está investigando a causa raiz, com atenção especial a uma possível vulnerabilidade na interface do usuário da plataforma Safe.global, que pode ter sido explorada durante o processo de transação”, diz a exchange.

A corretora de criptomoedas Bybit sofreu um ataque hacker e teve 401.346 unidades da moeda digital ether (ETH), o equivalente a US$ 1,4 bilhão, transferidos para uma carteira digital desconhecida. Na rede social X (Twitter), o CEO e cofundador da Bybit, Ben Zhou, admitiu o ataque em postagem na qual disse que vai continuar permitindo saques dos usuários.

No mundo das exchanges de criptoativos, as empresas costumam manter dois tipos de carteiras digitais, uma quente, com acesso à internet, e outra fria, que costuma ficar em um hardware específico. A carteira quente é usada para os fluxos do dia a dia, enquanto a fria é onde ficam os fundos dos clientes. Em sua postagem, Zhou explicou que o ataque ocorreu ao transferir valores da carteira fria para a quente, com uma mudança no contrato em que seria assinada digitalmente a transação.

“A mensagem de assinatura era para alterar a lógica do contrato inteligente de nossa carteira fria ETH. Isso resultou em um hacker assumindo o controle da carteira fria ETH específica que assinamos e transferindo todo o ETH na carteira fria para esse endereço não identificado”, admitiu. Zhou disse que a Bybit possui outras carteiras frias para fazer a custódia das criptomoedas dos clientes e elas não foram atingidas.

Em live após o ataque hacker, Zhou garantiu que a principal reserva da Bybit, que é a de bitcoin (BTC) não foi comprometida e que o tesouro da exchange é capaz de cobrir todo o valor que foi roubado. “Já processamos 70% dos saques e estamos processando a última parte. Vimos um aumento de 100 vezes no número normal de saques. Nós faremos o melhor para buscar o hacker e trabalharemos com a polícia, mas no pior cenário vamos cobrir os fundos que os clientes perderam“, prometeu.

Depois de roubar os fundos da carteira fria da Bybit, o hacker começou a movimentar as moedas digitais roubadas para novas carteiras, onde elas poderiam ser vendidas. A empresa de análise de blockchain Arkham informou que o cibercriminoso detém agora US$ 1,37 bilhão em ether e já usou 53 carteiras.

Segundo Alexandre Senra, procurador da República e coordenador do MBA em cripto da Trevisan, como o ether é uma criptomoeda não congelável, que circula por uma rede descentralizada, não há entidade que possa impedir as criptomoedas de continuarem a circular sob posse do hacker. Contudo, é possível enxergar por meio de exploradores de blocos como o Etherscan onde estão os ativos agora. “As movimentações não são anônimas, mas não conseguimos saber quem está por trás das carteiras. Conseguimos acompanhar os ativos, porém não descobrir quem é o hacker”, explica.

Há pouco, o investigador especializado no universo blockchain, ZachXBT, afirmou ter identificado o Lazarus Group, da Coreia do Norte, como o autor do ataque à Bybit. A Arkham disse no X que as informações enviadas por ZachXBT incluíram uma análise detalhada de transações de teste e carteiras conectadas usadas antes do exploit, bem como vários gráficos forenses e análises de tempo. “A submissão foi compartilhada com a equipe da Bybit em apoio à investigação. Desejamos a todos o melhor”, postou a empresa de análise.

Senra aponta que várias ferramentas colocaram marcadores nos endereços usados pelo golpista, de modo que se ele tentar enviar os ativos para outra corretora como Binance e Coinbase, elas poderiam travar a transação antes que o criminoso consiga converter o criptoativo em dinheiro fiduciário. A outra possibilidade seria se ele tentasse converter seus ETH para alguma moeda digital congelável como a stablecoin USDT, da Tether. Entretanto, é baixa a possibilidade disso ocorrer. O mais provável, na opinião do especialista, é que o cibercriminoso use uma ferramenta de embaralhamento de transações como o Tornado Cash para tornar mais difícil o rastreio dos seus ativos.

Um ponto que chamou a atenção da comunidade cripto é que muitas das carteiras para as quais as criptomoedas roubadas foram enviadas são endereços não suspeitos. Ou seja, supostamente haveria uma espécie de comportamento “Robin Hood” do hacker, que teria enviado quantias de ether para carteiras digitais aleatórias para encobrir seus rastros. Todavia, isso ainda não foi confirmado.

Em relação aos clientes, vale lembrar que por ora ninguém foi lesado, pois a Bybit está permitindo que os saques continuem normalmente. O usuário de uma exchange de criptomoedas, conforme Senra explica, tem um crédito com essa empresa no valor equivalente ao que aparece como seu saldo de criptomoedas. “Nenhum cliente da Bybit foi vítima, a vítima foi a própria Bybit. Só haveria vítimas se alguém tentasse sacar o crédito e a exchange não pudesse pagar, algo que ainda não ocorreu.”

Em nota enviada ao Valor, a Bybit informou que está trabalhando com os principais especialistas forenses em blockchain para rastrear os fundos roubados e resolver a situação. “Nossa equipe de segurança está investigando a causa raiz, com atenção especial a uma possível vulnerabilidade na interface do usuário da plataforma Safe.global, que pode ter sido explorada durante o processo de transação”, diz a exchange.