Um 'phishing' sofisticado para o maior roubo da história das criptomoedas: 1,4 bilhão saiu voando da conta da Bybit

Na sexta-feira passada, o mundo das criptomoedas passou de um estado de euforia, depois que a SEC retirou seu processo contra a Coinbase , para uma depressão profunda. O setor mais uma vez viveu um pesadelo que o assombra ao longo de sua história: a Bybit, a segunda maior exchange do mundo em número de transações e com mais de 40 milhões de usuários no mundo todo, foi hackeada. A empresa anunciou que os cibercriminosos esvaziaram sua carteira fria de Ethereum, levando cerca de 401 tokens, avaliados em mais de US$ 1,4 bilhão na época. O pânico tomou conta dos investidores, o que se tornou o maior roubo de fundos da história do setor.

O que aconteceu?

Hackers atacaram a carteira fria do ethereum: também chamada de carteira fria , é um sistema sem conexão com a internet que armazena as chaves de acesso às criptomoedas e é considerado o mais seguro. Na verdade, é uma carteira multiassinatura, que requer múltiplas autorizações para aprovar uma transação. Na sexta-feira, os executivos da empresa estavam transferindo fundos de sua carteira fria para uma carteira quente (que armazena as chaves em locais conectados à rede) como parte de um processo operacional de rotina, que geralmente é realizado quando mais liquidez é necessária na plataforma.

O CEO da plataforma, Ben Zhou, foi o último a validar a transação , mas não a que pretendia. Os invasores, por meio de um sistema sofisticado, projetaram uma interface falsa que replicava perfeitamente a plataforma de gerenciamento de carteira usada pela Bybit. Essa interface exibia endereços e URLs verificados, o que fazia as transações parecerem legítimas. Depois que os signatários aprovaram a transação, os hackers desviaram os fundos para uma carteira desconhecida. Este método de ataque foi tão eficaz que os sistemas de segurança da Bybit detectaram anomalias apenas quando já era tarde demais. Uma versão extremamente sofisticada de phishing, uma técnica comumente usada por hackers que buscam enganar usuários por meio de roubo de identidade para roubar informações pessoais ou acessar contas ou senhas online.

Pouco depois do ataque, a empresa de pesquisa Arkham Intelligence detectou que os fundos começaram a ser transferidos para novos endereços e estavam sendo vendidos. Até o momento, a colaboração entre a Bybit e outras plataformas levou ao bloqueio e congelamento de quase US$ 43 milhões em fundos roubados. Outros estão sendo lavados por meio de várias técnicas de ofuscação, incluindo o chain hopping , que envolve a conversão de uma forma de criptomoeda em outra e sua movimentação por vários blockchains: o TRM Labs estima que, até a noite de domingo, US$ 160 milhões foram desviados por canais ilícitos.

Por que o Ethereum é mais vulnerável?

A rede Ethereum é altamente respeitada pela indústria pela infinidade de casos de uso que oferece. Graças ao código Solidity, de fato, aplicativos e contratos inteligentes podem ser criados e desenvolvidos neste blockchain . “Mas esses também são um vértice de vulnerabilidade do qual os hackers se aproveitam”, diz Javier Pastor, diretor de treinamento da Bit2Me.

Adolfo Contreras, consultor estratégico da Blockstream, explica que o problema está nas falhas no design do Ethereum. Esta rede usa EVM, uma máquina virtual capaz de executar uma ampla gama de instruções e executar contratos inteligentes. O especialista acredita que esse sistema é muito complexo e gera muitas transações diferentes que não podem ser "suportadas" pela carteira de hardware, um pequeno dispositivo que permite armazenar e proteger as chaves privadas: ou seja, não tem capacidade suficiente para interpretar o enorme número de transações que o EVM gera. “A consequência é que ao assinar uma transação EVM, se ela for muito complexa e a carteira não for capaz de interpretá-la, uma assinatura cega é feita . Na pequena tela do aparelho, você vê uma sequência alfanumérica e basicamente assina o que aparece", explica.

O que a empresa fez?

Às 16h51 de sexta-feira, a empresa relatou o ataque em suas redes sociais. Pouco mais de uma hora depois, o CEO respondeu a perguntas de usuários e investidores por meio de uma transmissão ao vivo , comunicando os detalhes do ataque e as atualizações que estavam sendo conhecidas. Em todos os momentos ele garantiu que as outras carteiras estavam seguras e não haviam sido afetadas: “ A Bybit é solvente. Mesmo que essa perda não seja recuperada , todos os ativos dos clientes são garantidos na proporção de 1 para 1, podemos cobrir a perda”, acrescentou.

Eles imediatamente pediram a colaboração da indústria, prometendo doar 10% dos fundos roubados para aqueles que os ajudassem a recuperar esses fundos. Outras exchanges também tomaram medidas, bloqueando a carteira usada pelo hacker e todas aquelas para onde parte dos fundos roubados são enviados. “Qualquer movimento do invasor que queira sacar as criptomoedas roubadas será bloqueado pela exchange. Essas carteiras são etiquetadas usando um software que rastreia todos os movimentos do hacker, graças ao blockchain ”, explica Cristina Carrascosa, CEO e fundadora da ATH21.

Esta manhã, Ben Zhou anunciou que a Bybit já havia reposto os fundos roubados e mais uma vez tinha ativos suficientes para garantir 100% dos depósitos de seus clientes. A empresa disse que reabasteceu 446,87 unidades de Ethereum, avaliadas em mais de US$ 1,2 bilhão a preços atuais, por meio de empréstimos, depósitos de grandes investidores e compras diretas do token.

Quem está por trás do ataque?

Empresas de análise como Arkham e TRM Labs têm rastreado os fundos roubados, com suas pesquisas apontando o Lazarus Group da Coreia do Norte como o culpado pelo hack. “O ataque seguiu seu conhecido manual, e os hackers norte-coreanos não escondem seus rastros porque operam fora do alcance da aplicação da lei”, disse Ari Redbord, diretor global de política e assuntos governamentais da TRM Labs. Em um único dia, os hackers norte-coreanos quase dobraram a quantia que roubaram em 2024: na verdade, no ano passado eles foram responsáveis ​​por aproximadamente 35% de todos os fundos roubados, totalizando cerca de US$ 800 milhões em criptomoedas roubadas em operações de alto impacto. Um estudo recente da Chainalysis estima esse número em US$ 1,34 bilhão em 47 incidentes no ano passado.

Houve casos semelhantes?

A TRM Labs afirma que ataques a carteiras quentes e contratos inteligentes são comuns, mas violações em carteiras frias nessa escala são raras. No entanto, houve outros ataques semelhantes. Contreras observa que este último hack o lembra do hack da Parity em 2017: naquela ocasião, os hackers exploraram uma vulnerabilidade nos contratos inteligentes do software , que permitiam o gerenciamento de carteiras com múltiplas assinaturas. Os invasores assumiram o controle de algumas carteiras e desviaram os fundos : eles levaram cerca de 150.000 unidades de Ethereum, avaliadas em cerca de US$ 30 milhões na época.

Após este último incidente, especialistas acreditam que as plataformas dedicarão mais orçamento à defesa cibernética. Redbord observa que a velocidade com que os invasores estão movimentando essa quantia de dinheiro era inimaginável há apenas um ano. “A escala e a velocidade dessa operação de lavagem de dinheiro marcam uma evolução perigosa na forma como hackers patrocinados pelo estado podem explorar o ecossistema de criptomoedas, aproveitando a tecnologia e as robustas redes de lavagem de dinheiro. Isto indica uma necessidade urgente de cooperação transfronteiriça na aplicação da lei.”

No entanto, eles reconhecem a eficiência da resposta da empresa diante de um acidente dessa magnitude. “Estamos falando de um hack de 1,4 bilhão que nem sequer causou problema na liquidez da bolsa . Se pararmos para pensar, estamos falando de um valor muito alto, e ele poderia continuar operando sem esse valor. “É sem dúvida o padrão que todos os que trabalham neste setor almejam”, conclui Carrascosa.