{"id":23601,"date":"2025-04-16T15:11:37","date_gmt":"2025-04-16T18:11:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23601"},"modified":"2025-04-16T15:11:37","modified_gmt":"2025-04-16T18:11:37","slug":"bybit-hack-lessons-how-to-do-self-custody-properly","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/bybit-hack-lessons-how-to-do-self-custody-properly\/23601\/","title":{"rendered":"Li\u00e7\u00f5es do hack da Bybit: como armazenar criptomoedas com seguran\u00e7a"},"content":{"rendered":"

Em 21 de fevereiro, o mercado de criptomoedas enfrentou o maior ataque de sua hist\u00f3ria. Os invasores roubaram cerca de US$\u00a01,5\u00a0bilh\u00e3o da Bybit, a segunda maior corretora de criptomoedas do mundo, com especialistas citando o evento como o maior roubo de qualquer coisa de todos os tempos. Embora nem essa perda nem a retirada de mais US$\u00a05\u00a0bilh\u00f5es por investidores em p\u00e2nico tenham sido fatais para a Bybit, o incidente ressalta as falhas fundamentais no ecossistema de criptomoedas moderno e oferece algumas li\u00e7\u00f5es valiosas para usu\u00e1rios regulares.<\/p>\n

Como a Bybit foi roubada<\/h2>\n

Como todas as principais corretoras, a Bybit guarda as criptomoedas armazenadas com prote\u00e7\u00e3o em v\u00e1rias camadas. A maioria dos fundos fica armazenada em carteiras frias<\/a>, desconectadas dos sistemas on-line. Quando os ativos atuais precisam ser recarregados, a quantia necess\u00e1ria \u00e9 movida manualmente da carteira fria para a carteira quente, e a opera\u00e7\u00e3o \u00e9 assinada por v\u00e1rios funcion\u00e1rios ao mesmo tempo. Para isso, a Bybit usa uma solu\u00e7\u00e3o de m\u00faltiplas assinaturas (multisig) da Safe{Wallet}, e cada funcion\u00e1rio envolvido na transa\u00e7\u00e3o a assina com uma chave criptogr\u00e1fica hardware de livro cont\u00e1bil privada<\/a>.<\/p>\n

Os invasores estudaram o sistema em detalhes e, de acordo com pesquisadores independentes, comprometeram uma m\u00e1quina de desenvolvedor da Safe{Wallet}. Presumivelmente, modifica\u00e7\u00f5es maliciosas foram feitas no c\u00f3digo para exibir p\u00e1ginas do aplicativo Web da Safe{Wallet}. Mas a bomba l\u00f3gica dentro dela era acionada somente se a origem da transa\u00e7\u00e3o correspondesse ao endere\u00e7o do contrato da Bybit<\/a>. Caso contr\u00e1rio, a Safe{Wallet} funcionava normalmente. Ap\u00f3s conduzirem sua pr\u00f3pria investiga\u00e7\u00e3o, os propriet\u00e1rios da Safe{Wallet} rejeitaram as conclus\u00f5es das duas empresas independentes de seguran\u00e7a da informa\u00e7\u00e3o, insistindo que sua infraestrutura n\u00e3o havia sido hackeada.<\/p>\n

Ent\u00e3o, o que aconteceu? Durante uma recarga de rotina de US$ 7 milh\u00f5es em uma carteira quente, os funcion\u00e1rios da Bybit puderam ver o valor espec\u00edfico e o endere\u00e7o do destinat\u00e1rio da carteira quente na tela do computador. Contudo, foram outros os dados enviados para assinatura! Para transfer\u00eancias regulares, o endere\u00e7o do destinat\u00e1rio pode (e deve!) ser verificado na tela do dispositivo do livro cont\u00e1bil. Mas ao assinar transa\u00e7\u00f5es multisig, essa informa\u00e7\u00e3o n\u00e3o \u00e9 exibida, ent\u00e3o os funcion\u00e1rios da Bybit basicamente fizeram uma transfer\u00eancia \u00e0s cegas.<\/p>\n

Como resultado, eles inadvertidamente deram sinal verde para um contrato inteligente malicioso que moveu todo o conte\u00fado de uma das carteiras frias da Bybit para centenas de carteiras falsas. Assim que a retirada da carteira Bybit foi conclu\u00edda, parece que o c\u00f3digo no site Safe{Wallet} voltou \u00e0 vers\u00e3o inofensiva. Os invasores est\u00e3o atualmente ocupados \u201cdissolvendo\u201d o Ethereum roubado, transferindo-o aos poucos na tentativa de lav\u00e1-lo.<\/p>\n

Tudo indica que a Bybit, e seus clientes, foram v\u00edtimas de um ataque \u00e0 cadeia de suprimentos<\/a>.<\/p>\n

O incidente na Bybit n\u00e3o \u00e9 um caso isolado<\/h2>\n

O FBI acusou oficialmente<\/a> um grupo norte-coreano com o codinome TraderTraitor como o autor do crime. Nos c\u00edrculos de seguran\u00e7a da informa\u00e7\u00e3o, esse grupo tamb\u00e9m \u00e9 conhecido como Lazarus, APT38 ou BlueNoroff<\/a>. Seu modo de opera\u00e7\u00e3o envolve ataques persistentes, sofisticados e cont\u00ednuos no setor de criptomoedas: invadir sistemas de desenvolvedores de carteiras, roubar corretoras, roubar usu\u00e1rios comuns e at\u00e9 mesmo criar jogos play-to-earn falsos<\/a>.<\/p>\n

Antes do ataque da Bybit, o recorde do grupo era o roubo de US$\u00a0540\u00a0milh\u00f5es<\/a> do blockchain da Ronin Networks, criado para o jogo Axie Infinity<\/em>. No ataque de 2022, hackers infectaram o computador de um dos desenvolvedores do jogo usando uma oferta de emprego falsa em um arquivo PDF infectado. Essa t\u00e9cnica de engenharia social permanece no arsenal do grupo<\/a> at\u00e9 hoje.<\/p>\n

Em maio de 2024, o grupo realizou um golpe-rel\u00e2mpago de mais de US$\u00a0300\u00a0milh\u00f5es na corretora de criptomoedas japonesa DMM Bitcoin<\/a>, que acabou falindo. Antes disso, em 2020, mais de US$\u00a0275\u00a0milh\u00f5es foram desviados da corretora de criptomoedas KuCoin<\/a>, com um \u201cvazamento de chave privada\u201d para uma carteira quente citado como o motivo.<\/p>\n

O Lazarus vem aprimorando suas t\u00e1ticas de roubo de criptomoedas h\u00e1 mais de uma d\u00e9cada. Em 2018, escrevemos sobre uma s\u00e9rie de ataques a bancos e bolsas de criptomoedas usando um aplicativo de negocia\u00e7\u00e3o de criptomoedas com Cavalo de Troia como parte da Opera\u00e7\u00e3o AppleJeus<\/a>. Especialistas da Elliptic estimam<\/a> que os ganhos totais com crimes cometidos por atores ligados \u00e0 Coreia do Norte chegam a cerca de US$\u00a06\u00a0bilh\u00f5es.<\/p>\n

O que os investidores de criptomoedas devem fazer<\/h2>\n

No caso da Bybit, os clientes tiveram sorte: a corretora atendeu prontamente \u00e0 onda de solicita\u00e7\u00f5es de retirada que se seguiu e prometeu compensar as perdas com seus pr\u00f3prios fundos. A Bybit continua no mercado, ent\u00e3o os clientes n\u00e3o precisam tomar nenhuma atitude espec\u00edfica.<\/p>\n

No entanto, a invas\u00e3o refor\u00e7a a dificuldade de proteger fundos que circulam por sistemas de blockchain e a limita\u00e7\u00e3o de a\u00e7\u00f5es para cancelar uma transa\u00e7\u00e3o ou reembolsar valores. Dada a escala sem precedentes do ataque, muitos solicitaram a revers\u00e3o da blockchain Ethereum para o estado anterior, mas os desenvolvedores da Ethereum consideram isso \u201ctecnicamente invi\u00e1vel\u201d<\/a>. Enquanto isso, a Bybit anunciou um programa de recompensa<\/a> para corretoras de criptomoedas e pesquisadores de seguran\u00e7a, oferecendo 10% de qualquer quantia recuperada. At\u00e9 agora apenas US$ 43 milh\u00f5es foram recuperados.<\/p>\n

Isso levou alguns especialistas do setor de criptomoedas<\/a> a especularem que a principal consequ\u00eancia do ataque ser\u00e1 um aumento na autocust\u00f3dia de ativos digitais<\/a>.<\/p>\n

A autocust\u00f3dia<\/strong> transfere a responsabilidade pelo armazenamento seguro dos especialistas para o usu\u00e1rio. Portanto, s\u00f3 siga esse caminho se tiver total confian\u00e7a em suas habilidades para dominar todas as medidas de seguran\u00e7a e segui-las rigorosamente dia ap\u00f3s dia. Vale lembrar que usu\u00e1rios comuns, que n\u00e3o t\u00eam milh\u00f5es sem suas carteiras de criptomoedas dificilmente enfrentar\u00e3o um ataque direcionado, enquanto ataques em massa gen\u00e9ricos s\u00e3o mais facilmente evit\u00e1veis.<\/p>\n

Ent\u00e3o, o que \u00e9 necess\u00e1rio para uma autocust\u00f3dia segura de criptomoedas?<\/p>\n