Uma investigação da Sygnia Labs e da Verichains confirmou que os hackers da Bybit exploraram uma máquina de desenvolvimento comprometida da Safe Wallet para roubar fundos. Embora a bolsa alegue que seus sistemas não foram violados, a Safe reconfigurou sua infraestrutura para eliminar as vulnerabilidades.
A Bybit, uma das maiores exchanges de criptomoedas do mundo, sofreu um roubo de mais de US$ 1.400 bilhão em Ethereum. Detalhes do ataque, revelados em um relatório forense recente conduzido em conjunto pela Sygnia Labs e pela Verichains, apontam para um vetor incomum: manipulação de código na plataforma da Safe Wallet, uma provedora de carteiras de hardware multiassinaturas usadas por instituições.
De acordo com o relatório, os invasores obtiveram acesso a uma máquina de desenvolvimento Safe para substituir o arquivo JavaScript em app.safe.global, o portal oficial de gerenciamento de ativos. O código malicioso foi ativado durante uma transação de rotina da Bybit, redirecionando fundos para endereços controlados pelo Lazarus Group, um grupo de hackers ligado à Coreia do Norte que foi responsabilizado pelo ataque.
PREPARE SUA CARTEIRAEmbora a Bybit alegue que seus próprios sistemas não foram comprometidos, o incidente expõe riscos críticos à segurança operacional dos provedores de serviços de blockchain.
A Safe Wallet, por sua vez, confirmou a vulnerabilidade e anunciou a reconfiguração completa de sua infraestrutura. No entanto, especialistas como Michael Lewellen, da Blockaid, apontam que o ataque poderia ter sido evitado pela verificação independente das transações, um padrão ainda ausente em muitas plataformas.
Engenharia silenciosa: como o código fantasma se infiltrou
De acordo com a análise forense apresentada pelas empresas, o ataque contra a Bybit começou semanas antes do roubo. Os hackers do Lazarus Group comprometeram um computador de desenvolvimento da Safe Wallet usando técnicas de engenharia social. De acordo com o Sygnia Labs, o arquivo safe-transaction.js no site app.safe.global foi substituído por uma versão maliciosa armazenada no Amazon S3 e distribuída via CloudFront, serviços de hospedagem e entrega de conteúdo da AWS.
Este código camuflado Funcionou como um cavalo de Tróia, pois permaneceu inativo até que a Bybit iniciou uma transação de rotina de sua carteira de hardware multiassinatura. Naquela época, os hackers Eles modificaram os endereços de destino sem alterar a interface visível aos signatários. Como resultado, três executivos da Bybit aprovaram a transação acreditando que ela era legítima, enquanto o script desviou os fundos para endereços controlados pelos hackers.
COMPRAR BITCOINVerichains identificou que O ataque foi programado para coincidir com uma transferência programada, maximizando o impacto. O código malicioso foi excluído dois minutos após o roubo, na tentativa de apagar evidências, mas foi registrado em arquivos públicos, como o Wayback Machine.
Comparação entre Bybit e Seguro: A Batalha pela Responsabilidade do Hacking
Embora a Bybit afirme que seus sistemas internos não foram violados, a Safe Wallet atribui o incidente a uma violação em uma única máquina de desenvolvimento. O CEO da Bybit, Ben Zhou, compartilhou detalhes do relatório forense sobre o X, enquanto a Safe reconheceu que um computador de desenvolvimento foi comprometido, permitindo o hack. A empresa também disse que adicionou medidas de segurança para eliminar o vetor de ataque.
“A revisão forense do ataque liderado pelo Lazarus à Bybit concluiu que esse ataque direcionado à Safe Wallet da Bybit foi alcançado por meio de uma máquina comprometida de um desenvolvedor da Safe Wallet, resultando na proposta de uma transação maliciosa disfarçada. Lazarus é um grupo de hackers norte-coreano patrocinado pelo estado, conhecido por seus sofisticados ataques de engenharia social contra credenciais de desenvolvedores, às vezes combinados com explorações de dia zero”, disse ele.
Certificado
Curso de Blockchain
Nível básicoFaça este curso onde explicamos o blockchain de uma forma clara, simples e concisa para que você tenha uma ideia bem clara do que consiste essa nova tecnologia.
Lazarus Group: o espectro sombrio da Coreia do Norte
Analistas de segurança cibernética, como ZachXBT, rastrearam os fundos roubados até uma rede de carteiras digitais, muitas delas vinculadas a ataques anteriores, como os da Phemex e da Atomic Wallet. O Lazarus Group, financiado pelo regime norte-coreano, aperfeiçoou métodos para escapar de sanções econômicas usando criptomoedas.
CONVIDE E GANHEO hack da Bybit destaca um problema sistêmico na segurança da infraestrutura de blockchain: a dependência de terceiros expõe até mesmo os maiores participantes a riscos imprevisíveis. Este episódio lamentável reforça a necessidade de as empresas implementarem verificações em várias camadas, desde a análise de transações até o rigoroso gerenciamento de acesso interno.
Para os usuários, a lição é dupla: carteiras com múltiplas assinaturas, embora seguras em teoria, não são invulneráveis se os processos operacionais falharem. E diante de empresas como o Lazarus Group, cuja sofisticação rivaliza com a dos estados-nação, a indústria deve priorizar a colaboração em vez da competição.
O investimento em criptoativos não é totalmente regulamentado, pode não ser adequado para investidores de varejo devido à alta volatilidade e há risco de perder todos os valores investidos.
