# Bybit Heist 2025 > [!danger] Maior roubo de criptomoeda da historia - US$1,5 bilhao > Em 21 de fevereiro de 2025, o [[g0032-lazarus-group|Lazarus Group]] executou o maior roubo de criptomoeda já registrado, desviando US$1,5 bilhao em Ethereum da exchange **Bybit** (Dubai). O ataque comprometeu a infraestrutura da [[safe-wallet|Safe Wallet]] via supply chain, injetando JavaScript malicioso no frontend que substituia enderecos de destino durante uma transferencia de cold wallet para warm wallet. ## Visão Geral O **Bybit Heist** representa um marco na evolução das operações financeiras da Coreia do Norte. Diferente de ataques anteriores que exploravam vulnerabilidades técnicas, este incidente combinou **engenharia social direcionada** a um desenvolvedor da Safe Wallet com **comprometimento supply chain** do frontend da aplicação - uma abordagem sofisticada que contornou todas as protecoes tradicionais de custódia cripto. O ataque foi executado em tres fases ao longo de 17 dias: primeiro, comprometimento do ambiente de desenvolvimento via container Docker malicioso; segundo, espera estratégica até o momento de uma transferencia programada de cold wallet; terceiro, injecao de JavaScript que alterava os parametros da transação na interface do usuario sem modificar os valores exibidos. O [[g0032-lazarus-group|Lazarus Group]] (rastreado como **TraderTraitor** pelo FBI) lavou 86,29% dos fundos convertendo ETH para BTC via mixers e bridges cross-chain. Apenas US$50 milhões foram congelados - taxa de recuperacao de 3,3%. **Impacto LATAM:** Exchanges brasileiras e latino-americanas que utilizam custódia multisig baseada em Safe Wallet estao expostas ao mesmo vetor. O incidente acelerou revisoes de segurança no ecossistema PIX-cripto brasileiro. ## Attack Flow - Bybit Heist ```mermaid graph TB A["🎯 Engenharia Social<br/>Dev Safe Wallet - Docker falso"] --> B["🔑 Roubo de AWS Session Tokens<br/>Bypass de MFA via tokens temporarios"] B --> C["💉 Injecao de JavaScript<br/>Frontend Safe Wallet adulterado em app.safe.global"] C --> D["👁 Man-in-the-Browser<br/>Enderecos substituidos - UI parece legitima"] D --> E["✅ Autorização das Vitimas<br/>Executivos da Bybit assinam sem saber"] E --> F["💸 Transferencia de 401k ETH<br/>US$ 1,5 bilhao exfiltrado em 30 min"] F --> G["🔀 Lavagem Multi-Chain<br/>DEXs, bridges, Monero, Bitcoin"] G --> H["💀 86% dos Fundos Convertidos<br/>BTC - rastreamento drasticamente reduzido"] classDef initial fill:#3a1a1a,color:#ff9999,stroke:#e74c3c classDef exploit fill:#2a1a3a,color:#cc99ff,stroke:#9b59b6 classDef impact fill:#1a3a1a,color:#99ff99,stroke:#27ae60 class A,B initial class C,D,E exploit class F,G,H impact ``` ## Resumo O **Bybit Heist de 2025** e a maior operação de roubo de criptoativos da historia, atribuida ao [[g0032-lazarus-group|Lazarus Group]] da Coreia do Norte (identificado pelo FBI como **TraderTraitor** - unidade cibernética do Reconnaissance General Bureau/RGB do DPRK). Em 21 de fevereiro de 2025, atacantes transferiram aproximadamente **401.000 ETH** (equivalente a cerca de US$ 1,5 bilhao na epoca) de carteiras frias da exchange Bybit, sediada em Dubai (Emirados Arabes Unidos), para enderecos controlados pelos atacantes. A operação superou o roubo ao protocolo Ronin Network (US$ 625 milhões, 2022) como o maior furto cripto registrado. O vetor de ataque foi inedito em sofisticacao: o grupo comprometeu a infraestrutura da **Safe{Wallet}** (anteriormente Gnosis Safe), fornecedora de carteiras multisig usada pela Bybit, injetando código JavaScript malicioso na interface web da plataforma via AWS S3/CloudFront comprometidos. O ataque nao explorou falhas na blockchain - explorou o fator humano e a confiança em fornecedores de software. Executivos da Bybit visualizaram uma interface aparentemente legitima, mas estavam autorizando transações para carteiras controladas pelos atacantes sem saber. A operação foi planejada com pelo menos 17 dias de antecedencia. Em 4 de fevereiro de 2025, um desenvolvedor da Safe{Wallet} foi comprometido via engenharia social com um projeto Docker malicioso ("MC-Based-Stock-Invest-Simulator-main"), possívelmente disfarado como oferta de emprego. O malware estabeleceu conexão com servidor do atacante e exfiltrou tokens de sessao AWS temporarios - permitindo acesso a infraestrutura de producao da Safe{Wallet} sem necessidade de contornar MFA. **Motivacao:** Financeira/Geopolitica - financiamento do programa nuclear e de misseis balisticos da Coreia do Norte. O Lazarus Group roubou mais de US$ 6,75 bilhoes em cripto desde 2017; em 2025, o DPRK foi responsavel por 59% de todo o cripto roubado globalmente (US$ 2,02 bilhoes no ano, com o Bybit representando 74% desse total). **Relevância LATAM/Brasil:** Embora a Bybit sejá sediada em Dubai e o ataque tenha ocorrido fora da América Latina, o incidente tem implicacoes diretas para o maior mercado de criptomoedas da regiao. ## Linha do Tempo | Data | Evento | |------|--------| | 04/02/2025 | Desenvolvedor da Safe{Wallet} comprometido via Docker malicioso; tokens de sessao AWS roubados | | 04-21/02/2025 | Atacantes aguardam 17 dias enquanto injetam JavaScript malicioso na infraestrutura da Safe{Wallet} | | 19/02/2025 | Código JavaScript malicioso injetado nos buckets S3/CloudFront de app.safe.global as 15:29:25 UTC | | 20/02/2025 | Lazarus Group registra dominio `bybit-assessment.com` as vesperas do ataque | | 21/02/2025 | 14:13:35 UTC - Executivos da Bybit autorizam transferencia de rotina; 401.000 ETH (USD 1,5B) transferidos em ~30 minutos | | 21/02/2025 | Bybit confirma hack públicamente e congela temporariamente saques | | 22/02/2025 | Elliptic e Chainalysis públicam análises atribuindo operação ao [[g0032-lazarus-group\|Lazarus Group]] | | 25/02/2025 | Fundos comecam a ser fragmentados e lavados via DEXs, bridges cross-chain e mixing protocols | | 26/02/2025 | FBI emite alerta público sobre TraderTraitor, identificando grupo como responsavel; pública 51 enderecos ETH usados na lavagem | | 01/03/2025 | Bybit anuncia cobertura integral dos prejuizos com reservas proprias, descartando insolvencia | | 10/03/2025 | Rastreadores de blockchain estimam ~70% dos fundos já dispersos por múltiplas redes | | 20/03/2025 | Bybit CEO Ben Zhou confirma que atacantes converteram 86,29% do ETH roubado para Bitcoin | | Ján 2026 | Bybit atinge 80 milhões de usuarios - sobrevivencia e crescimento após o heist | ## TTPs Utilizadas | Tática | Técnica | ID | Observacao | |--------|---------|-----|------------| | Initial Access | Supply Chain Compromise | [[t1195-002-compromise-hardware-supply-chain\|T1195.002]] | Comprometimento do ambiente de desenvolvimento/producao da Safe{Wallet} via engenharia social contra dev | | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Engenharia social - Docker malicioso enviado ao dev da Safe{Wallet} via oferta de emprego/investimento | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Executivos da Bybit autorizaram transações maliciosas acreditando que a interface era legitima | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Interface web manipulada visualmente - exibia enderecos legitimos enquanto redirecionava fundos | | Defense Evasion | Obfuscated Files or Information | [[t1027-obfuscated-files\|T1027]] | Código JavaScript malicioso dormia até detectar sessao Bybit específica antes de ativar | | Collection | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Captura de tokens de sessao AWS do ambiente de desenvolvimento da Safe{Wallet} | | Command and Control | Proxy | [[t1090-proxy\|T1090]] | Uso de DEXs e bridges para obscurecer trilhas de rastreamento de fundos | | Impact | Financial Theft | - | Desvio direto de US$ 1,5 bilhao em ETH para carteiras controladas pelos atacantes | ## Método de Ataque - Supply Chain via Interface Layer O ataque ao Bybit foi um **supply chain attack** direcionado a camada de interface, nao a blockchain. O [[g0032-lazarus-group|Lazarus Group]] comprometeu a infraestrutura da **Safe{Wallet}** (empresa que fornecia a solução de carteira multisig usada pelos executivos da Bybit) em tres fases: **Fase 1 - Cavalo de Troia (4 de fevereiro):** Um desenvolvedor da Safe{Wallet} baixou um projeto Docker malicioso ("MC-Based-Stock-Invest-Simulator-main"), provavemlente via engenharia social disfaracada como oportunidade de emprego ou ferramenta de pesquisa de investimentos. O container estabeleceu conexão com servidor do atacante e exfiltrou tokens de sessao AWS temporarios - credenciais que permitem acesso a infraestrutura cloud da Safe{Wallet} sem ativar MFA. **Fase 2 - O Dragao Adormecido (4-21 de fevereiro):** Em vez de agir imediatamente, o grupo aguardou 17 dias. Durante esse período, injetou JavaScript dormido específicamente direcionado a carteiras Bybit nos buckets AWS S3/CloudFront que serviam app.safe.global. O código permanecia completamente inativo para todos os outros usuarios - era ativado somente quando detectava uma sessao de assinatura da Bybit. **Fase 3 - O Roubo (21 de fevereiro):** Durante transferencia de rotina de carteira fria para carteira quente, o JavaScript malicioso interceptou a transação. Aos olhos dos signatarios, a interface exibia enderecos de destino corretos e valores normais. No backend, a função `delegatecall` do Ethereum foi abusada: os signatarios aprovaram uma troca do contrato de implementacao da carteira - substituindo-o por versao controlada pelos atacantes. Com essa mudança, o grupo obteve controle total sobre os fundos. ## Lavagem e Rastreamento Imediatamente após a transferencia, o [[g0032-lazarus-group|Lazarus Group]] iniciou processo sistematico de lavagem: - **DEXs (Decentralized Exchanges):** Trocas de ETH por outros tokens sem KYC/AML, sem possibilidade de rastreamento por autoridades - **Cross-chain bridges:** Transferencias entre redes (Ethereum - Bitcoin - Monero) para quebrar trilhas de auditoria - **Conversao para Bitcoin:** 86,29% do ETH convertido para BTC até 20 de marco - reducao dramatica de rastreabilidade - **Mixing protocols:** Embaralhamento de transações para diluir rastreabilidade on-chain - **Monero (XMR):** Conversao parcial para ativo com privacidade nativa que impede rastreamento público Resultado: apenas ~US$ 50 milhões foram congelados pelas autoridades - menos de 3,5% do total roubado. ## Impacto - **Financeiro:** US$ 1,5 bilhao em ETH - maior roubo de criptoativos da historia; Bybit cobriu integralmente com reservas proprias - **Mercado:** Queda de confiança em exchanges centralizadas (CEXs); 10 bilhoes de dólares em saques nas 24h seguintes ao incidente - **Regulatorio:** FBI, SEC e múltiplas jurisdicoes iniciaram investigacoes formais; pressao por regulamentacao mais rigorosa de VASPs - **Industria:** Reavaliacao generalizada de segurança de carteiras multisig; Safe{Wallet} suspendeu temporariamente servicos para auditoria; migracao para MPC (Multi-Party Computation) acelerada - **Geopolitico:** Em 2025, DPRK roubou US$ 2,02 bilhoes em cripto - 59% de todo o cripto roubado globalmente; Bybit correspondeu a 74% desse total - **Longo prazo:** Bybit cresceu para 80 milhões de usuarios até janeiro de 2026 - recuperacao completa de reputacao ## Relevância LATAM/Brasil Embora a Bybit sejá sediada em Dubai e o ataque tenha ocorrido fora da América Latina, o incidente tem implicacoes diretas para o maior mercado de criptomoedas da regiao: - Exchanges brasileiras como Mercado Bitcoin, Foxbit e NovaDAX devem revisar urgentemente práticas de custodia multisig e fornecedores de soluções de assinatura - O ataque demonstra que a ameaça ao setor financeiro digital nao requer presenca fisica na jurisdicao-alvo - qualquer exchange que utilize fornecedores de software comprometidos esta exposta - O CERT.br e o Banco Central do Brasil devem emitir orientacoes para VASPs (Virtual Asset Service Providers) regulamentados sobre gestao de risco de cadeia de fornecedores - Recomendacoes práticas: **cold storage multisig com hardware wallets dedicados**, verificação independente de enderecos antes de assinar, segregacao de ambientes de producao de fornecedores terceiros, adocao de MPC como alternativa ao modelo Safe{Wallet} - MITRE ATT&CK: [[g0032-lazarus-group|Lazarus Group]] - G0032 **Atores:** [[g0032-lazarus-group|Lazarus Group]] **TTPs:** [[t1566-phishing|T1566]] · [[t1195-002-compromise-hardware-supply-chain|T1195.002]] · [[t1204-user-execution|T1204]] · [[t1036-masquerading|T1036]] · [[t1005-data-from-local-system|T1005]] **Malware/Ferramentas:** JavaScript malicioso customizado injetado via supply chain; TraderTraitor toolkit **Campanhas relacionadas:** [[operation-applejeus|Operation AppleJeus]] · [[operation-dreamjob|Operation DreamJob]] **Setores:** [[financial]] · [[cryptocurrency|criptomoedas]] --- *Fonte: [FBI Alert TraderTraitor - PSA250226](https://www.ic3.gov/PSA/2025/PSA250226)* *Fonte: [Elliptic - Bybit Hack Attribution to North Korea](https://www.elliptic.co/blog/elliptic-connects-bybit-hack-to-north-korea)* *Fonte: [NCC Group - In-Depth Technical Analysis of the Bybit Hack](https://www.nccgroup.com/research/in-depth-technical-analysis-of-the-bybit-hack/)* *Fonte: [HYDNSEC - Bybit Hack Post Mortem](https://www.hydnsec.com/blog-posts/bybit-hack-post-mortem-from-hydn-security)* *Fonte: [Wilson Center - The Bybit Heist: What Happened and What Now?](https://www.wilsoncenter.org/article/bybit-heist-what-happened-what-now)* *Fonte: [CSIS - The ByBit Heist and the Future of U.S. Crypto Regulation](https://www.csis.org/analysis/bybit-heist-and-future-us-crypto-regulation)* *Fonte: [Chronicle Journal - The $1.5 Billion Breach - One Year Later](http://markets.chroniclejournal.com/chroniclejournal/article/breakingcrypto-2026-1-12-the-15-billion-breach-how-the-lazarus-groups-safewallet-exploit-rewrote-the-rules-of-crypto-security) (Ján 2026)*