Na noite de 21 de fevereiro, Ben Zhou, CEO da exchange (corretora) de criptomoedas Bybit, acessou seu computador para revalidar o que parecia ser uma transação rotineira. Sua empresa estava transferindo uma grande quantidade de ether, uma moeda do dedo popular, de uma conta para outra.
Trinta minutos depois, Zhou recebeu uma relação do diretor financeiro da Bybit. Com a voz trêmula, o executivo informou a Zhou que o sistema deles havia sido hackeado.
“Todo o ethereum sumiu”, ele disse.
Quando Zhou aprovou a transação, ele entregou o controle de uma conta para hackers apoiados pelo governo norte-coreano, de concordância com o FBI. Eles roubaram US$ 1,5 bilhão (muro de R$ 8,6 bilhões) em criptomoedas, o maior roubo na história da indústria.
Para realizar a violação surpreendente, os hackers exploraram uma falta simples na segurança da Bybit: sua sujeição de um resultado de software gratuito. Eles penetraram na Bybit manipulando um sistema disponível publicamente que a exchange usava para proteger centenas de milhões de dólares em depósitos de clientes.
Durante anos, a Bybit confiou no software de armazenamento, desenvolvido por um fornecedor de tecnologia chamado Safe, mesmo enquanto outras empresas de segurança vendiam ferramentas mais especializadas para negócios.
O hack fez os mercados de criptomoedas despencarem e minou a crédito na indústria em um momento crucial. Sob a gestão Trump, favorável às criptomoedas, executivos da indústria estão fazendo lobby por novas leis e regulamentações nos EUA que facilitariam para as pessoas investirem suas economias em moedas digitais.
Na sexta-feira, a Moradia Branca está programada para sediar uma “cúpula de criptomoedas” com o presidente Donald Trump e altos funcionários da indústria.
Especialistas em segurança de criptomoedas disseram estar preocupados com o que o roubo revelou sobre os protocolos de segurança da Bybit. As perdas foram “completamente evitáveis”, escreveu uma empresa de segurança em uma estudo da violação, argumentando que “não deveria ter sucedido”.
A utensílio de armazenamento da Safe é amplamente utilizada na indústria de criptomoedas. Mas é mais adequada para entusiastas de criptomoedas do que para exchanges que lidam com bilhões em depósitos de clientes, disse Charles Guillemet, executivo da Ledger, uma empresa francesa de segurança de criptomoedas que oferece um sistema de armazenamento projetado para empresas.
“Isso realmente precisa mudar”, ele disse. “Não é uma situação tolerável em 2025.”
Na Bybit, o hack desencadeou 48 horas frenéticas. A empresa supervisiona até US$ 20 bilhões (muro de R$ 115 bilhões) em depósitos de clientes, mas não tinha ether suficiente em mãos para vedar as perdas do roubo de US$ 1,5 bilhão.
Zhou, 38, correu para manter o negócio à tona, pegando empréstimos de outras empresas e utilizando reservas corporativas para atender a um aumento nos pedidos de retirada. Nas redes sociais, ele parecia surpreendentemente relaxado, anunciando algumas horas depois o roubo que seus níveis de estresse estavam “não muito ruins”.
À medida que a crise se desenrolava, o preço do bitcoin, um indicador da indústria, despencou 20%. Foi a queda mais acentuada desde o fracasso da FTX em 2022, a exchange administrada pelo desconceituado magnata Sam Bankman-Fried.
Em uma entrevista esta semana, Zhou reconheceu que a Bybit tinha um aviso prévio sobre possíveis problemas com a Safe. Três ou quatro meses antes do hack, ele disse, a empresa percebeu que o software não era totalmente patível com um de seus outros serviços de segurança.
“Deveríamos ter atualizado e nos longínquo da Safe”, disse Zhou. “Definitivamente estamos procurando fazer isso agora.”
Rahul Rumalla, diretor de resultado da Safe, disse em um transmitido que sua equipe criou novos recursos de segurança para proteger os usuários e que os produtos da Safe eram “a espinha dorsal do tesouro para algumas das maiores organizações do setor.”
“Nosso trabalho não é exclusivamente emendar o que aconteceu”, disse Rumalla, “mas prometer que todo o setor aprenda com isso, para que isso não aconteça novamente.”
Fundada em 2018, a Bybit opera porquê um mercado de criptomoedas, onde traders diários e investidores profissionais podem transmudar seus dólares ou euros em bitcoin e ether. Muitos investidores tratam exchanges porquê a Bybit porquê bancos informais, onde depositam suas criptomoedas para segurança.
Por algumas estimativas, a Bybit é a segunda maior exchange de criptomoedas do mundo, processando dezenas de bilhões de dólares todos os dias. Com sede em Dubai, Emirados Árabes Unidos, não oferece serviços a clientes nos Estados Unidos.
Em 21 de fevereiro, Zhou estava em vivenda em Singapura, terminando qualquer trabalho, disse ele na entrevista.
Mas primeiro, ele e outros dois executivos precisavam revalidar uma transferência de criptomoedas de uma conta para outra. Essas transferências rotineiras deveriam ser seguras: nenhuma pessoa na Bybit pode executá-las sozinha, criando múltiplas camadas de proteção contra ladrões.
Nos bastidores, no entanto, um grupo de hackers já havia invadido o sistema da Safe, de concordância com a auditoria da Bybit sobre o hack. Eles comprometeram um computador pertencente a um desenvolvedor da Safe, disse uma pessoa com conhecimento do tópico, permitindo-lhes plantar código malicioso para manipular transações.
Um link enviado via Safe convidou Zhou a revalidar a transferência. Era uma emboscada. Quando ele aprovou, os hackers tomaram o controle da conta e roubaram US$ 1,5 bilhão em criptomoedas.
Os saques repentinos apareceram no blockchain, um livro público de transações de criptomoedas. Analistas de criptomoedas rapidamente identificaram o culpado porquê o Grupo Lazarus, um sindicato de hackers bravo pelo governo norte-coreano.
Para limitar os danos, outras empresas de criptomoedas ofereceram ajuda. Gracy Chen, CEO de uma exchange rival, Bitget, emprestou à Bybit 40 milénio em ether, ou aproximadamente US$ 100 milhões (muro de R$ 575 milhões), sem solicitar juros ou mesmo garantias.
Em seguida saquear a Bybit, os hackers norte-coreanos espalharam os fundos roubados por uma vasta rede de carteiras de criptomoedas online, uma estratégia de lavagem de quantia que também empregaram depois outros roubos.
Zhou disse que gostaria de ter agido mais cedo para substanciar as defesas da Bybit. “Há muitos arrependimentos agora”, ele disse. “Eu deveria ter prestado mais atenção nessa espaço.”
Ainda assim, a Bybit continuou operando depois o hack, processando todos os saques em 12 horas, disse Zhou. Pouco depois da violação, ele anunciou no X que a empresa estava movimentando muro de outros US$ 3 bilhões (muro de R$ 17,2 bilhões) em criptomoedas.
“Esta é uma manobra planejada, para sua informação”, ele escreveu. “Não fomos hackeados desta vez.”
