# Bybit Heist - Lazarus Group - 2025 > [!abstract] Resumo > Em 21 de fevereiro de 2025, o [[g0032-lazarus-group]] executou o maior roubo de criptomoeda da história ao comprometer a exchange Bybit por meio de manipulação da interface Safe{Wallet}, desviando aproximadamente 401.000 ETH - equivalente a US$ 1,5 bilhão. **Data:** 21 de fevereiro de 2025 | **Categoria:** Financial Crime --- ## O que aconteceu Em 21 de fevereiro de 2025, a exchange de criptomoedas Bybit foi alvo de um ataque altamente sofisticado executado pelo [[g0032-lazarus-group]], unidade cibernética atribuída ao governo da Coreia do Norte (DPRK). O incidente resultou no desvio de aproximadamente 401.000 ETH - avaliados em cerca de US$ 1,5 bilhão no momento do ataque - tornando-se o maior roubo de criptomoeda da história, superando o hack do Ronin Network (Axie Infinity) de 2022. O vetor de ataque não explorou vulnerabilidades nos contratos inteligentes da Bybit diretamente, mas sim comprometeu a interface utilizada pelos signatários da carteira multisig da exchange. Os atacantes conseguiram acesso ao ambiente de desenvolvimento ou infraestrutura da Safe{Wallet} - solução de carteira multisig amplamente utilizada pelo setor - e modificaram o JavaScript servido pela interface de forma a substituir silenciosamente o endereço de destino durante uma transação de transferência de carteira fria legítima. Os signatários aprovaram o que aparentava ser uma transação rotineira, mas na realidade autorizaram a transferência dos fundos para uma carteira controlada pelo Lazarus Group. A investigação on-chain foi conduzida por múltiplos analistas de blockchain independentes, incluindo ZachXBT, que vincularam os endereços de destino a carteiras previamente associadas ao Lazarus em outros heists de criptomoeda. A Bybit confirmou a atribuição e reportou o incidente às autoridades. Os fundos foram rapidamente dispersos por dezenas de carteiras intermediárias, submetidos a mixers de criptomoeda e convertidos via bridges cross-chain para dificultar o rastreamento e a recuperação. O ataque demonstra a sofisticação crescente do Lazarus Group em operações de roubo de criptomoeda - parte da [[operation-applejeus]] e de um programa deliberado da Coreia do Norte para financiar seus programas de armas via crimes cibernéticos. Estimativas do governo americano indicam que o Lazarus roubou mais de US$ 3 bilhões em criptoativos entre 2017 e 2025. --- ## Atores e Ferramentas - **Threat Actor:** [[g0032-lazarus-group]] (APT38, BlueNoroff - subgrupo financeiro) - **Campanha:** [[bybit-heist-2025]] - **Programa maior:** [[operation-applejeus]] (operações financeiras do Lazarus) - **Vetor:** Comprometimento da interface Safe{Wallet} (supply chain de software) - **Técnicas MITRE:** [[t1195-supply-chain-compromise|T1195-002-compromise-software-supply-chain]], [[t1486-data-encrypted-for-impact|T1657-financial-theft]], [[t1601-modify-system-image|T1600]] - **Lavagem:** Tornado Cash, mixers, bridges cross-chain (THORChain) --- ## Impacto O impacto financeiro imediato de US$ 1,5 bilhão representou um golpe significativo à Bybit, embora a exchange tenha comúnicado que suas reservas cobriam as perdas e que saques de clientes permaneciam operacionais. A confiança no setor de criptomoedas, especialmente em soluções de custódia multisig e carteiras frias, foi abalada. O episódio gerou escrutínio regulatório intensificado sobre exchanges e práticas de segurança para custódia de ativos digitais. A Safe{Wallet} conduziu investigação forense, identificou o ponto de comprometimento em sua infraestrutura e lançou atualizações de segurança. Pesquisadores de blockchain rastrearam os fundos ao longo de semanas, com parte convertida em Bitcoin via bridges e distribuída por centenas de carteiras. Geopoliticamente, o roubo reforçou avaliações de que a Coreia do Norte utiliza sistematicamente crimes cibernéticos financeiros como mecanismo de financiamento estatal, com o Lazarus Group operando como unidade de geração de receita para o regime. O FBI e o Departamento do Tesouro dos EUA atualizaram avisos sobre operações norte-coreanas de roubo de criptoativos. --- ## Notas Relacionadas - [[bybit-heist-2025]] - nota de campanha detalhada - [[g0032-lazarus-group]] - perfil do grupo de ameaça - [[operation-applejeus]] - programa de operações financeiras do Lazarus - [[t1195-supply-chain-compromise|T1195-002-compromise-software-supply-chain]] - técnica de comprometimento da cadeia de suprimentos - [[t1486-data-encrypted-for-impact|T1657-financial-theft]] - técnica MITRE de roubo financeiro