Em 21 de fevereiro de 2025, a exchange Bybit registrou o maior roubo da história das criptomoedas: 401.347 ETH — cerca de US$ 1,5 bilhão — drenados de sua cold wallet em minutos, em um ataque de supply chain atribuído pelo FBI ao Lazarus Group da Coreia do Norte.
O hack da Bybit não foi um ataque de força bruta contra a blockchain do Ethereum. Foi uma operação cirúrgica que explorou o elo mais fraco de qualquer sistema de segurança: a interface visual usada pelos operadores humanos. Para entender o funcionamento do Ethereum e por que esse ataque foi possível, é fundamental compreender a cadeia de eventos que levou ao roubo de US$ 1,5 bilhão.
A Bybit é uma das maiores exchanges de criptomoedas do mundo, sediada em Dubai. Para proteger seus fundos, utilizava um sistema de carteira multisig — tecnologia que exige a aprovação de múltiplos signatários antes de qualquer movimentação. Na teoria, um dos mecanismos de segurança mais robustos disponíveis. Na prática, não foi suficiente.
Como o hack da Bybit aconteceu: análise técnica
O ataque se estruturou em quatro etapas encadeadas, cada uma preparando o terreno para a seguinte. O vetor inicial não foi a Bybit — foi um fornecedor de software de terceiros.
Hackers usaram engenharia social para comprometer a máquina de um desenvolvedor da Safe{Wallet}, plataforma multisig usada pela Bybit. Tokens de sessão AWS foram roubados, abrindo acesso à infraestrutura de hospedagem.
Com acesso à infraestrutura AWS, os atacantes injetaram JavaScript malicioso na interface web da Safe{Wallet}, ativado exclusivamente para transações da cold wallet da Bybit — invisível para todos os outros clientes da plataforma.
Quando a transferência rotineira foi iniciada, os signatários viram endereços e valores corretos na tela. Por baixo, o código havia alterado o tipo de operação de call para delegatecall, redirecionando para um contrato malicioso.
Após os três signatários aprovarem a transação, o contrato malicioso assumiu o controle total da carteira e transferiu 401.347 ETH para endereços dos atacantes. O processo completo durou minutos.
O ponto crítico: falha humana, não criptográfica
A criptografia, as chaves privadas e o protocolo multisig funcionaram corretamente. O que falhou foi a camada humana: os signatários não tinham como verificar de forma independente o que estavam assinando, pois a interface visual havia sido corrompida. Esse problema é chamado de assinatura cega (blind signing) — e é exatamente a vulnerabilidade que hardwares wallets com tela própria, como a Trezor Safe 5, foram projetadas para eliminar.
Cronologia do hack da Bybit
- 📅 Início de fevereiro/2025 Desenvolvedor da Safe{Wallet} é alvo de engenharia social. Tokens de sessão AWS são roubados pelo Lazarus Group.
- 📅 21 de fevereiro/2025 O hack acontece. 401.347 ETH são drenados durante transferência rotineira. O CEO Ben Zhou se pronuncia publicamente em menos de 30 minutos.
- 📅 22–23 de fevereiro/2025 Fundos são dispersos por centenas de carteiras. Atacantes convertem ETH para BTC, DAI e outros ativos via DEXs e bridges cross-chain.
- 📅 24 de fevereiro/2025 Bybit conclui Proof of Reserves, confirmando solvência total. Garante cobertura de 100% das perdas dos clientes.
- 📅 26 de fevereiro/2025 FBI atribui oficialmente o ataque à Coreia do Norte, identificando a operação como “TraderTraitor”. Lista de endereços Ethereum dos atacantes é publicada.
- 📅 Março/2025 Bybit lança programa de recompensas de até 10% dos fundos recuperados (~US$ 140 milhões). Mais de US$ 42 milhões são congelados com apoio da indústria.
Lazarus Group: o cibercrime a serviço de um Estado
O Lazarus Group não é um coletivo de hackers independentes. Segundo analistas de segurança e agências governamentais, trata-se de uma operação de cibercrime patrocinada pelo Estado norte-coreano, cujos recursos financiam diretamente o programa militar e nuclear do regime de Pyongyang.
O histórico do grupo documenta um padrão de ataques crescentes ao ecossistema cripto: entre 2017 e 2022, o grupo acumulou cerca de US$ 3,5 bilhões em criptoativos roubados. Em 2023, foram aproximadamente US$ 660 milhões em 20 incidentes. Em 2024, US$ 1,34 bilhão em 47 operações. O hack da Bybit, sozinho em 2025, superou todo o valor roubado no ano anterior — em um único ataque.
Como os fundos foram lavados
Imediatamente após o roubo, os atacantes iniciaram um processo sofisticado para dificultar o rastreamento. Os ETH foram fragmentados e movidos para centenas de carteiras intermediárias. Grande parte foi convertida em BTC por meio de exchanges descentralizadas e do protocolo THORChain — que permite swaps cross-chain sem KYC.
Os bitcoins resultantes foram distribuídos por 6.954 carteiras, com média de 1,71 BTC cada. Em março de 2025, o CEO Ben Zhou relatou que 77% dos fundos permaneciam rastreáveis, 20% haviam se tornado intratáveis e apenas 3% foram congelados.
Impacto no mercado de Ethereum e criptomoedas
As repercussões do hack se espalharam pelo mercado rapidamente. O Ethereum (ETH) caiu aproximadamente 24% nos dias seguintes. O Bitcoin (BTC) recuou abaixo de US$ 90.000, atingindo o menor patamar desde novembro de 2024. O volume de negociação em exchanges centralizadas diminuiu temporariamente, enquanto crescia a busca por soluções de autocustódia.
No campo regulatório, o episódio intensificou discussões sobre requisitos mínimos de segurança cibernética para exchanges em diversas jurisdições, incluindo na União Europeia sob o arcabouço MiCA.
📌 Nota editorial
A resposta da Bybit ao incidente foi amplamente reconhecida pela indústria. O CEO Ben Zhou se pronunciou publicamente em menos de 30 minutos do ataque, a Proof of Reserves foi concluída em três dias e a cobertura integral das perdas dos clientes foi garantida — diferentemente do que ocorreu nos casos Mt. Gox e FTX. Ainda assim, o episódio reforça os riscos estruturais inerentes à custódia de ativos em terceiros.
O que o hack da Bybit ensina sobre segurança em cripto
As lições do caso Bybit vão além de uma única exchange. Elas expõem vulnerabilidades sistêmicas que afetam qualquer organização — ou indivíduo — que dependa de interfaces de terceiros para gerenciar ativos digitais.
Multisig não é infalível
Carteiras multisig adicionam camadas de aprovação, mas se a interface usada para assinar for comprometida, todos os signatários aprovam a mesma transação fraudulenta sem perceber. A segurança é tão forte quanto seu elo mais fraco — neste caso, o software de terceiros.
Ataques de supply chain são a nova fronteira
Em vez de atacar a Bybit diretamente, os hackers comprometeram um fornecedor de software. Esse modelo de ataque — chamado supply chain attack — é cada vez mais frequente e extremamente difícil de detectar, pois o código malicioso chega de uma fonte aparentemente confiável.
“Not your keys, not your coins” em evidência
Nenhum usuário que mantinha seus ETH em uma hardware wallet pessoal foi afetado pelo hack. O risco de contrapartida de exchanges — ser afetado por um hack, por insolvência ou por congelamento de saques — é eliminado pela autocustódia. Quando as chaves privadas estão sob seu controle, o risco de terceiros deixa de existir.
Como proteger seus ativos: medidas práticas
Com base nas vulnerabilidades expostas pelo hack da Bybit, as medidas a seguir representam as defesas mais eficazes para quem mantém criptomoedas — seja como investidor individual, seja como gestor de ativos institucionais.
- ✅ Hardware wallet com tela própria Dispositivos como a Trezor Safe 5 e o Ledger Flex exibem os dados reais da transação no display do próprio dispositivo — tornando o blind signing impossível. Mesmo que a interface do computador seja manipulada, você vê o que está assinando.
- ✅ Mínimo possível em exchanges Mantenha em exchanges apenas o volume necessário para operações ativas. Após adquirir ativos, transfira para custódia própria. Quanto menos tempo e volume na plataforma, menor a exposição ao risco de contrapartida.
- ✅ Chave de segurança física no login Proteja o acesso à exchange com uma chave FIDO2 física. Mesmo que senha e e-mail sejam comprometidos, o acesso sem o dispositivo físico é bloqueado.
- ✅ Verificação na tela do dispositivo Antes de confirmar qualquer transação, valide endereço e valor na tela da hardware wallet — nunca apenas no computador ou celular. Esse é o mecanismo que torna ataques do tipo Bybit inócuos para o usuário individual.
- ⚠️ Nunca armazene seed phrase digitalmente Fotos, e-mails, aplicativos de notas — qualquer armazenamento digital da frase de recuperação é um vetor de ataque. Soluções físicas em aço inoxidável oferecem proteção contra fogo, água e degradação ao longo do tempo.
- ⚠️ Desconfie de dependências de terceiros O hack da Bybit começou em um fornecedor de software, não na Bybit. Qualquer sistema que dependa de interfaces externas para operações críticas carrega o risco de supply chain. Quanto mais simples e autocontido o ambiente de assinatura, melhor.
Para quem deseja aprofundar o conhecimento sobre como proteger ativos em protocolos descentralizados, o Curso DeFi do básico ao avançado da KriptoBR aborda desde fundamentos até práticas avançadas de segurança em finanças descentralizadas — incluindo como avaliar riscos de contratos inteligentes e interfaces de terceiros.
A autocustódia elimina o risco de contrapartida
Quando você mantém criptomoedas em uma exchange, você possui uma promessa — não os ativos em si. Se a exchange for hackeada (Bybit, Mt. Gox), ficar insolvente (FTX) ou congelar saques, o acesso pode ser perdido. Com uma hardware wallet, as chaves privadas ficam offline em chip Secure Element, cada transação requer confirmação física na tela do dispositivo e nenhum ataque remoto consegue acessar os fundos sem acesso físico ao equipamento e conhecimento do PIN.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ETH com autocustódia de verdade
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🔐 O que é hardware wallet e como funcionaEntenda como dispositivos de autocustódia protegem suas chaves privadas offline e por que são considerados o padrão-ouro de segurança em cripto.
🛡️ O que é autocustódia em criptomoedasSaiba o que significa ser o único responsável pelas suas chaves privadas, quais os riscos envolvidos e como começar com segurança.
⚡ DeFi: o que são finanças descentralizadasUma introdução aos protocolos de finanças descentralizadas, como funcionam os contratos inteligentes e quais os riscos de segurança nesse ambiente.