Hack de US$ 1,5 bilhão: como ocorreu o maior roubo de criptomoedas da história

Trinta minutos depois, Zhou recebeu uma ligação do diretor financeiro da Bybit. Com a voz trêmula, o executivo informou que o sistema havia sido hackeado.

“Todo o ethereum desapareceu”, disse ele.

Leia mais: Dissecando um hack: o que o ataque à Bybit, maior roubo da História, mostra aos investidores

Ao aprovar a transação, Zhou inadvertidamente entregou o controle de uma conta a hackers ligados ao governo da Coreia do Norte, segundo o FBI. Eles roubaram US$ 1,5 bilhão em criptomoedas, o maior assalto da história do setor.

Invista em oportunidades que combinam com seus objetivos. Faça seu cadastro na Ágora Investimentos

Para realizar essa invasão impressionante, os hackers exploraram uma falha simples na segurança da Bybit: sua dependência de um software gratuito. Eles invadiram a exchange manipulando um sistema de código aberto que a empresa usava para proteger centenas de milhões de dólares em depósitos de clientes. Durante anos, a Bybit confiou nesse software de armazenamento, desenvolvido por um provedor de tecnologia chamado Safe, mesmo com outras empresas oferecendo ferramentas de segurança mais especializadas para negócios.

O ataque derrubou os mercados de criptomoedas e minou a confiança na indústria em um momento crucial. Sob o governo pró-cripto de Donald Trump, executivos do setor estão pressionando por novas leis e regulamentações nos EUA para facilitar o investimento em moedas digitais. Na sexta-feira (28), a Casa Branca deve sediar um “summit de cripto” com Trump e líderes do setor.

Veja também: Criptomoeda de Trump atinge valor de mercado de US$ 10 bilhões

Especialistas em segurança de cripto ficaram alarmados com o que o roubo revelou sobre os protocolos da Bybit. As perdas foram “completamente evitáveis”, escreveu uma empresa de segurança em uma análise sobre a invasão, argumentando que “isso não deveria ter acontecido”.

O software de armazenamento da Safe é amplamente utilizado na indústria cripto. No entanto, ele é mais adequado para entusiastas do setor do que para exchanges (plataformas que permitem a compra e venda de criptomoedas) que administram bilhões de dólares em depósitos de clientes, disse Charles Guillemet, executivo da empresa francesa de segurança cripto Ledger.

“Isso precisa mudar urgentemente”, afirmou ele. “Essa situação não é aceitável em 2025.”

Na Bybit, o ataque desencadeou 48 horas frenéticas. A empresa, que gerencia cerca de US$ 20 bilhões em depósitos de clientes, não tinha ether suficiente disponível para cobrir as perdas do roubo de US$ 1,5 bilhão. Zhou, de 38 anos, correu para manter a empresa operando, pedindo empréstimos de outras firmas e usando reservas corporativas para atender a um aumento nos pedidos de saque. Nas redes sociais, ele parecia surpreendentemente calmo, anunciando poucas horas após o roubo que seus níveis de estresse estavam “não tão ruins”.

À medida que a crise se desenrolava, o preço do bitcoin, um indicador do mercado cripto, despencou 20%, a queda mais acentuada desde o colapso da FTX em 2022, a exchange comandada pelo polêmico empresário Sam Bankman-Fried.

Em entrevista nesta semana, Zhou reconheceu que a Bybit já tinha recebido alertas sobre possíveis problemas com o Safe. Três ou quatro meses antes do ataque, a empresa percebeu que o software não era totalmente compatível com um de seus outros serviços de segurança.

“Deveríamos ter atualizado e nos afastado do Safe”, disse Zhou. “Definitivamente, estamos buscando fazer isso agora.”

Rahul Rumalla, diretor de produtos da Safe, afirmou em um comunicado que sua equipe implementou novos recursos de segurança para proteger os usuários e que os produtos da empresa são “a espinha dorsal financeira de algumas das maiores organizações do setor”.

“Nosso trabalho não é apenas corrigir o que aconteceu”, disse Rumalla, “mas garantir que todo o setor aprenda com isso, para que não aconteça novamente.”

Fundada em 2018, a Bybit opera como um marketplace de criptomoedas, onde traders (pessoa que compra e vende ativos na Bolsa de Valores, com o objetivo de lucrar) e investidores profissionais podem converter dólares ou euros em bitcoin e ether. Muitos investidores tratam exchanges como a Bybit como bancos informais, onde depositam suas criptomoedas para armazenamento seguro.

Estima-se que a Bybit seja a segunda maior exchange de criptomoedas do mundo, processando dezenas de bilhões de dólares diariamente. Sediada em Dubai, nos Emirados Árabes Unidos, ela não oferece serviços a clientes nos Estados Unidos.

Como aconteceu o maior roubo de criptos da história

Na noite de 21 de fevereiro, Zhou estava em casa em Cingapura, finalizando alguns trabalhos, segundo sua entrevista.

Antes, porém, ele e outros dois executivos precisavam aprovar uma transferência de criptomoedas entre contas. Essas transações rotineiras deveriam ser seguras: ninguém na Bybit pode executá-las sozinho, garantindo múltiplas camadas de proteção contra ladrões.

Nos bastidores, porém, um grupo de hackers já havia invadido o sistema da Safe, segundo a auditoria da Bybit sobre o ataque. Eles comprometeram um computador pertencente a um desenvolvedor da Safe, permitindo que implantassem um código malicioso para manipular transações.

Um link enviado pela Safe convidou Zhou a aprovar a transferência. Era uma armadilha. Quando ele autorizou a operação, os hackers assumiram o controle da conta e roubaram US$ 1,5 bilhão em criptomoedas.

As saídas repentinas de fundos foram registradas na blockchain, um livro público de transações de cripto. Analistas rapidamente identificaram os responsáveis: o Lazarus Group, um grupo de hackers ligado ao governo da Coreia do Norte.

Como ficaram os clientes?

Naquela noite, Zhou foi ao escritório da Bybit em Cingapura para administrar a crise. Ele anunciou o ataque nas redes sociais e ativou um protocolo de emergência da empresa chamado P-1, acionando um botão que despertou todos os membros da equipe de liderança.

Por volta da 1h da manhã, Zhou apareceu em uma transmissão ao vivo na plataforma X, bebendo um Red Bull. Ele garantiu aos clientes que a Bybit ainda era solvente.

“Mesmo que a perda do hack não seja recuperada, todos os ativos dos clientes estão garantidos 1 para 1”, afirmou em uma postagem. “Podemos cobrir o prejuízo.”

Essas garantias não foram suficientes. Dentro de poucas horas, Zhou disse que cerca de metade das criptomoedas depositadas na plataforma, aproximadamente US$ 10 bilhões, haviam sido sacadas. O mercado cripto entrou em colapso.

Para conter os danos, outras empresas do setor ofereceram ajuda. Gracy Chen, CEO da exchange rival Bitget, emprestou à Bybit 40.000 ether (cerca de US$ 100 milhões), sem cobrar juros ou exigir garantias.

“Jamais questionamos a capacidade deles de nos pagar de volta”, disse Chen.

Entre as reuniões de crise, Zhou fez comentários nas redes sociais. Ele compartilhou capturas de tela de um aplicativo de monitoramento de saúde, mostrando que seus níveis de estresse estavam surpreendentemente normais.

“Focado demais comandando todas as reuniões. Esqueci de estressar”, escreveu. “Acho que isso vai vir quando eu realmente absorver a ideia de perder US$ 1,5 bilhão.”

Após saquear a Bybit, os hackers norte-coreanos espalharam os fundos roubados por uma vasta rede de carteiras digitais, uma estratégia de lavagem de dinheiro que já haviam utilizado em outros ataques.

“Os hackers do Lazarus Group estão em outro nível”, escreveu Haseeb Qureshi, investidor de capital de risco, na plataforma X após o roubo.

Especialistas em segurança responsabilizaram a Bybit por se expor ao risco. Para autorizar a transferência que levou ao hack, Zhou usou um dispositivo de hardware da Ledger, uma empresa de segurança cripto. O aparelho, porém, não era totalmente compatível com o Safe, o que o impediu de verificar todos os detalhes da transação — uma prática sempre arriscada no mundo das criptomoedas.

“Safe simplesmente não fornece os controles necessários para operações frequentes de alto valor”, disse Riad Wahby, professor de engenharia da computação na Universidade Carnegie Mellon e cofundador da empresa de segurança digital Cubist.

Zhou admitiu que deveria ter tomado medidas antes para reforçar a segurança da Bybit. “Agora há muitos arrependimentos”, disse ele. “Eu deveria ter prestado mais atenção nessa área.”

Mesmo após o hack, a Bybit continuou operando e processou todos os saques em 12 horas, segundo Zhou. Pouco depois do ataque, ele anunciou na plataforma X que a empresa estava movimentando mais US$ 3 bilhões em criptomoedas. “Isso é uma manobra planejada, para informação”, escreveu. “Dessa vez, não fomos hackeados.”

Esta história foi originalmente apresentada no The New York Times.

c.2025 The New York Times Company

Este conteúdo foi traduzido com o auxílio de ferramentas de Inteligência Artificial e revisado por nossa equipe editorial. Saiba mais em nossa Política de IA.

Encontrou algum erro? Entre em contato