Dissecando um hack: o que o ataque à Bybit, maior roubo da História, mostra aos investidores

Na última semana, o mercado de criptomoedas foi palco de um evento histórico – mas, infelizmente, pelos piores motivos. A Bybit, uma das maiores exchanges (corretoras de criptomoedas) do mundo, sofreu um ataque hacker que resultou na perda de US$ 1,4 bilhão, tornando-se não apenas o maior roubo da história das criptomoedas, mas possivelmente o maior roubo da História.

O ataque à Bybit foi atribuído ao Lazarus Group, um grupo de hackers ligado ao regime da Coreia do Norte e conhecido por explorar vulnerabilidades no setor cripto e também no setor bancário para financiar atividades ilegais do país, como o desenvolvimento do programa nuclear por lá.

Para se ter dimensão da magnitude desse roubo, vale uma comparação com grandes assaltos da história.

• O assalto ao Trem Pagador, de 1963, na Inglaterra, considerado um dos mais icônicos da história, envolveu um roubo de 2,6 milhões de libras – que, corrigidos para valores atuais, dariam cerca de US$ 60 milhões.
• O maior assalto a banco da história do Brasil ocorreu em 2011, em plena Avenida Paulista, quando criminosos invadiram uma agência do Itaú e levaram bens avaliados em aproximadamente R$ 500 milhões na época. Atualizado para os valores de hoje, esse montante ultrapassaria R$ 1 bilhão.

O ataque à Bybit foi mais de cinco vezes maior que o maior assalto bancário já registrado no Brasil.

Mas como hackers conseguem acesso a tanto dinheiro assim?

Essa é a pergunta que muitos especialistas ainda tentam responder. Investigações sugerem que, além de explorar vulnerabilidades técnicas, grupos como o Lazarus Group empregam estratégias sofisticadas – inclusive o infame supply chain attack.

Nessa abordagem, os hackers infiltram seus agentes em empresas ou em seus fornecedores, comprometendo sistemas de segurança antes mesmo de atingir a organização principal. Em outras palavras, ao atacar a cadeia de suprimentos, o grupo consegue acessar dados e sistemas críticos por meio de uma brecha que pode estar no elo mais vulnerável da rede de parceiros.

Para entender o impacto desse tipo de ataque no universo cripto, é importante lembrar como os criptoativos são armazenados. Uma transação é autorizada por meio da combinação de uma chave pública – amplamente conhecida – e uma chave privada, que deve ser guardada com rigor absoluto.,

Corretoras de cripto precisam realizar transações online de forma imediata, semelhante a um Pix, o que as obriga a manter as chaves privadas em dispositivos conectados aos seus sistemas. Se essa chave for comprometida – por exemplo, por meio de um ataque à cadeia de fornecedores – o atacante pode ter acesso irrestrito aos fundos.

Felizmente, existe uma estratégia de mitigação: as corretoras não armazenam 100% dos ativos em um único ambiente vulnerável. Em vez disso, elas distribuem os recursos entre diferentes tipos de carteiras – as hot, warm e cold wallets –, equilibrando a necessidade de agilidade nas transações com a segurança máxima dos fundos.

Camadas de Segurança: a estratégia Hot-Warm-Cold

Exchanges e grandes detentores de criptomoedas utilizam um modelo que define três camadas de armazenamento, cada uma com um nível diferente de acessibilidade e proteção. São as hot, warm e cold wallets. Que podemos traduzir como carteiras quentes, mornas e frias, respectivamente.

A melhor forma de entender essa estrutura é compará-la ao funcionamento do dinheiro físico, cash, em uma loja:

• Hot Wallet (Caixa da loja) – É o dinheiro que fica no caixa, pronto para ser usado no dia a dia. No caso de uma exchange, são as carteiras conectadas à internet, utilizadas para processar retiradas e depósitos instantaneamente. São rápidas e acessíveis, mas também as mais vulneráveis a ataques, já que estão expostas o tempo todo. Somente uma parte pequena dos fundos fica nessa carteira.
• Warm Wallet (Cofre na loja) – Representa um meio-termo entre segurança e conveniência. Pense em um cofre nos fundos da loja: o dinheiro não está imediatamente disponível no caixa, mas pode ser acessado quando necessário. Não está disponível para o atendente do caixa, mas, para o gerente, sim. No mundo cripto, warm wallets são usadas para transferências que podem ser necessárias para alimentar a hot wallet, com alguma complexidade para serem realizadas, mas algo relativamente acessível para ser usado quando necessário. Uma parte um pouco maior que o que está na hot fica na warm wallet.
• Cold Wallet (Cofre em outra localização ultra-segura) – Aqui estamos falando do dinheiro que não fica na loja, mas sim guardado em um cofre altamente seguro em outro local. Cold wallets são armazenadas offline, sem conexão com a internet, totalmente protegidas contra ataques cibernéticos. Seu acesso é altamente restrito e exige múltiplas autorizações e processos rigorosos para qualquer movimentação. Se uma exchange precisa acessar sua cold wallet com frequência, algo está errado no modelo operacional.

Esse sistema existe para balancear segurança e liquidez. O grosso dos fundos deve estar armazenado a frio, é a parte mais sensível da estratégia de armazenamento de criptoativos. E é exatamente por isso que o hack da Bybit levanta tantas dúvidas – pois os hackers conseguiram acessar diretamente os fundos da cold wallet.

No entanto, há indícios de que os hackers conseguiram enganar de alguma forma as pessoas que autorizam essas movimentações. Isso levanta uma grande questão: uma movimentação na cold wallet não deveria ser um processo excepcional, altamente controlado e auditado? Supostamente não deveria ser simplesmente autorizado por meio de uma interface nos dispositivos dos executivos da companhia.

O impacto do ataque e a reação da Bybit

Após o ataque, a Bybit tomou uma decisão difícil, mas acertada: não bloqueou saques e rapidamente comunicou o ocorrido ao mercado. Em crises como essa, a transparência pode evitar um colapso ainda maior.

No entanto, os números falam por si: mais de 35% dos ativos da plataforma foram retirados por clientes nas 48 horas seguintes ao hack, somando o valor roubado e os saques preventivos de clientes assustados.

Isso demonstra um ponto crítico: a confiança é o maior ativo de uma exchange. Quando um evento dessa magnitude ocorre, não é só o prejuízo direto que conta – a fuga de clientes e a perda de credibilidade podem ser fatais para o negócio.

Apesar do choque inicial quando a notícia veio à tona, o mercado não sofreu um colapso de preços após o hack. Essa reação indica que os investidores já aprenderam que o valor dos ativos transcende as eventuais vulnerabilidades dos intermediários.

Os criptoativos, por serem essenciais e amplamente distribuídos, demonstraram resiliência, reforçando que, mesmo em situações como essa, o sistema se sustenta e os preços não se deterioram. Existe uma clara distinção entre ativos e intermediários.

A diferença entre bancos e exchanges – e o mito do “banco quebrado”

Muitas pessoas acreditam que, se um grande número de clientes tentar sacar seus fundos ao mesmo tempo, nenhuma exchange suportaria. Esse é um mito – e a raiz dessa confusão está na diferença entre bancos e corretoras de criptomoedas.

• Bancos operam com reserva fracionária e criam dinheiro no processo: Quando um banco recebe um depósito de R$ 100, ele não mantém esse valor integralmente disponível. Uma parte mínima é mantida como reserva obrigatória, enquanto o restante é usado para alavancar os empréstimos concedidos pela instituição financeira. Esse dinheiro emprestado volta ao sistema bancário como novos depósitos, permitindo que o banco conceda ainda mais crédito. Esse ciclo expande a oferta monetária — ou seja, os bancos efetivamente criam dinheiro ao multiplicar depósitos por meio do crédito. Se todos os clientes tentassem sacar seus depósitos ao mesmo tempo, o banco não teria liquidez suficiente, pois grande parte desse dinheiro está rodando no sistema financeiro.
• Exchanges não são bancos – ou pelo menos, não deveriam ser: Exchanges operam – ou deveriam operar – sob o princípio de segregação patrimonial. Se um cliente deposita R$ 100 em uma exchange, esse dinheiro deve estar 100% disponível para saque a qualquer momento. Se uma exchange não consegue lidar com saques em massa, isso é um péssimo sinal – pode significar problemas de liquidez ou, pior, que a empresa estava operando de maneira semelhante a um banco, sem a devida transparência. Exceção feita ao operacional imposto pela estratégia de hot, warm e cold wallets: em uma eventual corrida, aí sim a exchange pode ser ver obrigada a recorrer à sua carteira fria para fazer frente aos pedidos de saque.

Esse tema está no centro da regulação em discussão no Brasil. A segregação patrimonial – isto é, a garantia de que os fundos dos clientes estão completamente separados dos ativos da empresa – precisa ser uma exigência clara para corretoras que operam no país.

Exchanges com investidores institucionais são mais seguras?

Nem todas as exchanges são iguais – e há uma diferença fundamental entre aquelas que têm grandes investidores institucionais e aquelas que cresceram sem passar pelo mesmo nível de escrutínio.

Exchanges como Coinbase, Kraken e Mercado Bitcoin passaram por auditorias rigorosas antes de receberem aportes bilionários de investidores institucionais. Investidores desse calibre não colocam dinheiro em uma empresa sem antes exigir padrões elevados de segurança, compliance e governança. O nível de escrutínio nessas rodadas de investimento é profundo, envolvendo consultorias e auditorias especializadas que analisam cada detalhe dos processos internos, incluindo as sofisticadas estratégias de custódia de criptoativos descritas acima.

Em contrapartida, diversas exchanges globais de grande porte cresceram sem captar grandes rodadas de investimento, sem a mesma pressão por transparência e sem o mesmo nível de auditoria. Algumas dessas empresas podem até adotar boas práticas de segurança, mas a ausência de um crivo institucional aumenta os riscos para o cliente.

O que esse caso ensina para investidores?

O ataque à Bybit nos lembra que segurança não é apenas tecnologia – é também processo, governança e gestão de risco. Algumas lições para qualquer investidor:

• Para volumes maiores, avalie soluções mais robustas – combinar auto custódia com custódia em exchanges confiáveis pode trazer mais segurança e flexibilidade.
• Verifique a jurisdição da exchange – está registrada em um país com regulação forte e acessível ou em uma jurisdição obscura? Em caso de problemas, é nesse local que você precisará buscar seus direitos.
• Em um nível mais profundo, entenda minimamente a governança da exchange – quem são os investidores? A empresa passa por auditorias externas? Adota segregação patrimonial para proteger os ativos dos clientes?

O maior hack da história das criptomoedas não deve ser apenas mais uma manchete impactante – é um alerta que exige reflexão. Nem todas as empresas do setor são iguais, e mesmo aquelas com volumes gigantescos podem esconder fragilidades nas entrelinhas. Reguladores, empresas e investidores precisam olhar para segurança com a seriedade que o tema exige. O que ainda falta ser revelado sobre esse caso? Certamente mais do que sabemos agora.