O Roubo da Bybit: Como a Coreia do Norte Roubou 1,5 Bilhão em 47 Minutos
21 de fevereiro de 2025. 12:30 PM Tempo Universal Coordenado.
Dentro do centro de operações da Bybit — uma exchange de criptomoedas sediada em Dubai, movimentando dezenas de bilhões de dólares em volume de negociação diário — uma transferência programada se inicia.
Quatrocentos e um mil trezentos e quarenta e sete tokens Ethereum. Aproximadamente um bilhão e meio de dólares naquele momento. A transferência é rotineira: da carteira fria multissinatura da Bybit, mantida offline para segurança, para uma carteira quente usada para liquidez operacional.
Três funcionários seniores da Bybit são exigidos para autorizar a transação. Eles abrem a interface do Safe{Wallet} em suas estações de trabalho. Eles revisam o endereço de destino. Eles revisam os detalhes da transação. Tudo corresponde à operação esperada.
Eles assinam.
Um minuto depois, quatrocentos e um mil tokens Ethereum desaparecem.
Não transferidos para a carteira quente. Transferidos para um endereço controlado pela Coreia do Norte.
Nenhuma senha foi roubada. Nenhuma chave privada foi extraída. Nenhuma credencial foi alvo de phishing. A própria infraestrutura da Bybit não foi comprometida. Os três signatários fizeram exatamente o que seus procedimentos os instruíram a fazer. O que eles viram em suas telas, eles aprovaram.
O que eles viram em suas telas era uma mentira.
Este é o maior roubo único de criptomoedas já registrado. É, pela classificação do Guinness World Records, o maior assalto a banco da história — superando até mesmo o bilhão de dólares que Saddam Hussein extraiu do banco central do Iraque em 2003.
Foi executado alterando um único arquivo em um site.
O ataque não visou a Bybit diretamente.
A infraestrutura da Bybit — servidores, estações de trabalho de funcionários, hardware de assinatura, redes internas — nunca foi penetrada. Toda investigação forense subsequente, conduzida pelas empresas independentes Sygnia e Verichains, confirmou a mesma descoberta. A Bybit não foi hackeada.
A empresa que foi hackeada foi a Safe — anteriormente Gnosis Safe — a plataforma de carteira multissinatura mais amplamente utilizada no ecossistema Ethereum. A Safe mantém a interface web em app.safe.global através da qual a maioria dos detentores institucionais de Ethereum gerencia a autorização multipartidária de grandes transações.
A equipe de engenharia da Safe conta com aproximadamente trinta pessoas. Entre eles, um pequeno grupo de administradores de sistema tem permissões para modificar o código-base de produção ativo e a interface web implantada.
Aproximadamente trinta dias antes de 21 de fevereiro, um desses administradores de sistema é alvo.
O vetor é consistente com o manual da unidade norte-coreana rastreada internamente pelo Federal Bureau of Investigation como TraderTraitor. A unidade é um subcomponente do grupo mais amplo Lazarus Group, operando a partir do Terceiro Departamento do Reconnaissance General Bureau da Coreia do Norte.
A técnica específica não é divulgada publicamente pela Safe ou pelos investigadores. Mais provável: uma abordagem de engenharia social altamente direcionada, roteando através de um contato do LinkedIn, um fórum de desenvolvedores ou um pretexto de colaboração técnica. O administrador baixa o que parece ser um artefato técnico legítimo. O artefato contém malware.
O malware rouba tokens de sessão AWS. Não credenciais de longa duração — os tokens de autenticação temporários que os desenvolvedores da Safe usam durante seu dia de trabalho normal para acessar o Amazon Web Services, onde a interface web da Safe está hospedada.
Com esses tokens, os atacantes obtêm acesso à conta AWS da Safe.
Eles não extraem dados. Eles não implantam ransomware. Eles não tentam movimento lateral através da infraestrutura.
Eles modificam um arquivo JavaScript.
O arquivo servido do bucket de armazenamento Amazon S3 da Safe é o JavaScript de frontend que renderiza a interface de aprovação de transações nos navegadores dos signatários da Bybit.
A versão modificada contém o que investigadores forenses posteriormente descrevem como lógica maliciosa condicional.
Para a vasta maioria dos usuários da Safe — detentores comuns, outras exchanges, projetos de finanças descentralizadas — o JavaScript modificado se comporta de forma idêntica à versão legítima. A interface é renderizada normalmente. As transações são processadas como esperado. Nada parece errado.
O código malicioso é executado apenas quando condições específicas são satisfeitas.
Essas condições são projetadas precisamente para a Bybit.
O código verifica: esta sessão está autenticada contra um de três endereços de carteira específicos? A transação proposta é uma transferência da carteira fria Ethereum da Bybit? Se ambas as condições forem verdadeiras — prosseguir.
Se ambas as condições forem verdadeiras, o JavaScript malicioso intercepta os dados da transação pouco antes de serem exibidos aos signatários. Ele substitui a lógica da transação. O que os signatários veem em sua tela — endereço de destino, valor, tipo de operação — permanece visualmente idêntico à transferência legítima pretendida.
O que eles estão realmente assinando é um `delegatecall` para um contrato controlado pela Coreia do Norte.
Em Ethereum, `delegatecall` é uma primitiva que permite a um smart contract executar código no contexto de outro — com acesso total ao armazenamento e fundos do chamador. Quando um signatário aprova uma transação que inclui um `delegatecall`, eles não estão meramente transferindo fundos. Eles estão concedendo ao contrato chamado controle total sobre a carteira chamadora.
Ao aprovar o que acreditam ser uma transferência rotineira, os três signatários da Bybit concedem a um contrato controlado pela Coreia do Norte a propriedade total de sua carteira fria.
O atacante então a esvazia.
Quatrocentos e um mil trezentos e quarenta e sete tokens Ethereum. Um bilhão e meio de dólares.
Todos os três signatários tinham autenticação multifator ativada em suas contas. Todos os três tinham chaves de segurança de hardware ativas. Nada disso importou. A fraude aconteceu na camada acima da autenticação — na camada onde os próprios olhos do signatário interpretam o que lhe está sendo solicitado para aprovar.
Dois minutos depois que a transação chega à mainnet Ethereum, o JavaScript malicioso no site da Safe é excluído.
O arquivo modificado é substituído pela versão legítima. Qualquer visitante subsequente de app.safe.global recebe código limpo. A evidência desaparece do ambiente ativo.
Mas a infraestrutura da Safe não é o único lugar onde o arquivo foi servido. Os arquivos da Wayback Machine — o arquivo público da web mantido pelo Internet Archive — haviam capturado a versão maliciosa durante sua janela de implantação ativa. Quando os investigadores reconstroem o ataque, o arquivo arquivado se torna uma evidência forense central. Os atacantes não haviam antecipado que o arquivo público da web estava silenciosamente fazendo cópias de seu exploit.
Os sistemas de detecção da Bybit sinalizam a anomalia em minutos. O CEO Ben Zhou confirma publicamente o roubo em poucas horas. Empresas de análise de blockchain começam a rastrear o Ethereum roubado em tempo real.
A operação de lavagem já havia começado.
A metodologia de lavagem de criptomoedas da Coreia do Norte é madura.
Nas primeiras quarenta e oito horas após o roubo, analistas de blockchain estimam que aproximadamente cento e sessenta milhões de dólares em Ethereum são lavados com sucesso através de exchanges descentralizadas e pontes cross-chain. Os ativos são convertidos, fragmentados, misturados através de protocolos de privacidade e reconstituídos em milhares de endereços de blockchain.
O alvo de conversão preferencial é o Bitcoin.
O modelo de transação do Bitcoin usa Unspent Transaction Outputs — uma estrutura que trata cada transação como uma unidade discreta, análoga ao dinheiro físico. Rastrear um valor monetário específico através do Bitcoin exige seguir UTXOs individuais por muitos endereços, uma tarefa forense exponencialmente mais complexa do que rastrear uma conta Ethereum.
A unidade de lavagem da Coreia do Norte, designada pelo FBI como TraderTraitor, converte a maior parte do Ethereum roubado para Bitcoin dentro da primeira semana.
O FBI emite um anúncio de serviço público em 26 de fevereiro de 2025 — cinco dias após o ataque — atribuindo formalmente o roubo à Coreia do Norte. O departamento divulga cinquenta e um endereços Ethereum identificados como parte da infraestrutura de lavagem. Ele apela a exchanges, plataformas de finanças descentralizadas e empresas de inteligência de blockchain para bloquear transações derivadas desses endereços.
A atribuição é rápida pelos padrões de investigações de ciberataques de estados-nação. Ela é possibilitada pela correspondência de padrões.
Os endereços usados para mover os fundos roubados da Bybit se sobrepõem, em pontos específicos, com endereços usados em roubos anteriores de criptomoedas — o roubo da Phemex em 2024, o roubo da BingX em 2024, o roubo da Poloniex em 2023. As empresas de inteligência de blockchain Elliptic e TRM Labs, juntamente com o investigador independente ZachXBT, estabelecem as sobreposições em dias.
Os mesmos operadores estão executando a mesma infraestrutura de lavagem em repetidos assaltos. A infraestrutura é a assinatura.
Contexto para a escala.
De acordo com várias empresas de inteligência de blockchain, o Lazarus Group e seus subcomponentes roubaram, ao longo de um período de vários anos, um valor estimado de três vírgula quatro a mais de seis bilhões de dólares em criptomoedas. Somente em 2024, o roubo ligado à Coreia do Norte foi responsável por mais de dois bilhões de dólares.
O um bilhão e meio de dólares da Bybit, levado em uma única operação, excede o próximo maior roubo único — o roubo de trezentos e oito milhões de dólares da exchange DMM Bitcoin do Japão em 2024 — por um fator de cinco.
Os fundos fluem, através de redes de lavagem, para contas controladas pelo governo da República Popular Democrática da Coreia. Designações do Departamento do Tesouro estabeleceram repetidamente que essas contas financiam os programas de armas da Coreia do Norte, incluindo o desenvolvimento de mísseis balísticos e seu programa nuclear.
A Bybit, por sua vez, sobrevive. A empresa é solvente. Horas após o roubo, o CEO Ben Zhou organiza empréstimos-ponte e fluxos de entrada estratégicos de outros detentores institucionais para reabastecer as reservas. Os fundos dos clientes permanecem protegidos. Nenhum usuário perdeu ativos depositados.
A exchange lança um programa de recompensa de recuperação, oferecendo até dez por cento de quaisquer fundos recuperados para aqueles que ajudem a rastreá-los ou apreendê-los.
A vasta maioria do Ethereum roubado não foi recuperada.
Os elementos não resolvidos deste dossiê são estruturais.
A Bybit não fez nada de errado pelos padrões das melhores práticas de custódia de criptomoedas. Ela usou armazenamento frio para suas reservas. Ela usou autorização multissinatura para transferências. Ela usou um provedor de interface terceirizado de boa reputação. Ela usou chaves de segurança de hardware para seus signatários. Cada controle defensivo que a indústria recomenda, a Bybit implementou.
O ataque contornou todos eles comprometendo uma camada fora do controle da Bybit.
A Safe, o provedor de interface, atende a milhares de clientes institucionais. Qualquer um desses clientes poderia ter sido o alvo. A Bybit foi selecionada porque os atacantes, através de seu reconhecimento inicial, identificaram seus endereços de carteira fria e padrões de transação com antecedência. O JavaScript condicional foi projetado em torno desses pontos de dados específicos.
A fraqueza arquitetônica subjacente é geral, não específica.
Qualquer interface web usada para assinar transações de criptomoedas é, por definição, um ponto potencial de manipulação de exibição. Se a interface puder ser sutilmente modificada — através do comprometimento de sua infraestrutura de hospedagem, sua rede de entrega de conteúdo, seu repositório de código-fonte ou seu pipeline de implantação — um signatário não pode, na maioria das implementações, verificar independentemente o que está realmente assinando.
Hardware wallets com exibição independente de transações são uma mitigação parcial. Mas muitas hardware wallets não decodificam estruturas de transação complexas como `delegatecall` em formato legível por humanos. Elas mostram um hash bruto. Um usuário olhando para uma string hexadecimal de sessenta e quatro caracteres não pode verificar seu significado por inspeção.
O usuário tem que confiar na interface.
A Coreia do Norte demonstrou, em 21 de fevereiro de 2025, o custo dessa confiança.
Fragment Zero rastreará o dossiê.
Os fundos roubados continuam a fragmentar-se pela blockchain global. Partes permanecem estáticas em endereços que foram marcados e sancionados. Partes continuam a se mover. Os cinquenta e um endereços identificados pelo FBI cresceram para várias centenas, em múltiplas cadeias.
O desenvolvedor da Safe cuja máquina foi comprometida não foi publicamente nomeado. O vetor específico de engenharia social usado para alcançá-lo não foi publicamente detalhado.
O Lazarus Group continua a operar. Nos meses seguintes ao roubo da Bybit, roubos menores, mas ainda substanciais — medidos em dezenas de milhões de dólares — foram atribuídos à mesma infraestrutura.
A questão mais profunda não é se a criptomoeda pode ser roubada.
A questão mais profunda é o quanto da infraestrutura financeira agora depende de um pequeno número de projetos de interface de código aberto — mantidos por pequenas equipes, atualizados através de pipelines de implantação em tempo real, consumidos através de navegadores web — que se situam entre bilhões de dólares em ativos e os humanos que os autorizam.
Neste caso, o número de pessoas que poderiam ter impedido o maior roubo da história era um. E ele clicou em algo.
