O CEO da Bybit, Ben Zhou, revelou na quinta-feira que 88,87% dos US$ 1,4 bilhão em criptomoedas roubados da exchange permanecem trac, apesar do Lazarus Group ter movimentado os fundos por meio de misturadores Bitcoin .
Os ativos roubados, totalizando 500.000 ETH, foram em grande parte convertidos em 12.836 BTC e agora estão distribuídos em 9.117 carteiras. Zhou, que publicou uma análise detalhada do ataque no X, confirmou que 3,54% dos fundos roubados já foram congelados, enquanto 7,59% desapareceram na dark web. O restante? Ainda está ao alcance — mas os hackers estão fazendo de tudo para apagar seus trac .
O ataque fez com que a Coreia do Norte subisse para o terceiro lugar entre os governos que detêm Bitcoin, controlando agora 13.562 BTC, avaliados em mais de US$ 1,14 bilhão. Os únicos governos com mais Bitcoin são os Estados Unidos, com 198.109 BTC, avaliados em US$ 16,71 bilhões, e o Reino Unido, com 61.245 BTC, avaliados em US$ 5,17 bilhões.
Butão e El Salvador caíram na lista, detendo agora 10.635 BTC e 6.117 BTC, respectivamente. O aumento repentino nas reservas Bitcoin da Coreia do Norte ocorreu poucos dias antes de Donald Trump assinar uma ordem executiva estabelecendo a Reserva Estratégica Bitcoin (SBR), intensificando as especulações sobre a estratégia de longo prazo de Pyongyang em relação às criptomoedas.
Hackers usaram mixers para ocultar Bitcoin roubados
A publicação de Zhou revelou que 86,29% dos ativos roubados — aproximadamente US$ 1,23 bilhão em ETH — foram convertidos em Bitcoin e distribuídos por 9.117 carteiras. Os hackers começaram a usar serviços de mistura imediatamente, enviando pelo menos 193 BTC para o Wasabi Mixer antes de dispersar os fundos lavados por meio de diversas plataformas de compartilhamento de criptomoedas (P2P).
“Acreditamos que essa tendência crescerá à medida que mais fundos passarem por serviços de mistura”, escreveu Zhou. Ele reconheceu que tractransações misturadas se tornou o maior desafio e pediu a ajuda de caçadores de recompensas para decifrá-las. Nos últimos 30 dias, a Bybit recebeu 5.012 denúncias de recompensas, mas apenas 63 eram válidas. Zhou deixou claro: mais caçadores de recompensas são necessários.
A Bybit ignorou os riscos de segurança antes do ataque
Em entrevista , Zhou admitiu que a Bybit tinha recebido alertas sobre falhas de segurança meses antes do ataque. Ele revelou que, três a quatro meses antes do ataque, a exchange percebeu que o Safe, o software comprometido, não era totalmente compatível com a estrutura de segurança da Bybit.
“Deveríamos ter atualizado e abandonado o Safe”, disse Zhou. “ defi, estamos analisando a possibilidade de fazer isso agora.”
Rahul Rumalla, diretor de produtos da Safe, respondeu defendendo a empresa, afirmando que novos recursos de segurança já haviam sido implementados. "Nosso trabalho não é apenas corrigir o que aconteceu, mas garantir que todo o setor aprenda com isso para que não se repita", disse Rumalla.
A auditoria interna da Bybit revelou que hackers haviam se infiltrado no sistema da Safe muito antes do roubo. O computador de um desenvolvedor foi comprometido, permitindo que os atacantes instalassem código malicioso e manipulassem transações. O ataque final foi executado por meio de uma solicitação de transação fraudulenta enviada ao próprio Zhou, que, sem saber, aprovou a transferência. No momento em que ele confirmou a transação, os hackers drenaram US$ 1,5 bilhão em criptomoedas.
O fluxo de fundos foi imediatamente visível na blockchain, e analistas de criptomoedas rapidamente associaram o roubo ao Grupo Lazarus, um grupo de hackers norte-coreano. Zhou reagiu correndo para o escritório da Bybit em Singapura e acionando um sistema de resposta a emergências conhecido internamente como P-1, mobilizando toda a equipe de liderança.
Usuários da Bybit sacaram bilhões após o ataque hacker
O mercado reagiu rapidamente. Zhou prometeu aos usuários da plataforma X que a Bybit continuava solvente, publicando o seguinte:
“Mesmo que essa perda decorrente do ataque cibernético não seja recuperada, todos os ativos dos clientes estão garantidos na proporção de 1:1. Podemos cobrir o prejuízo.”
Essa garantia não impediu os saques em massa. Em poucas horas, os usuários retiraram quase US$ 10 bilhões da plataforma. Todo o mercado de criptomoedas sofreu um grande impacto.
Outras empresas de criptomoedas entraram em cena para estabilizar a situação. Gracy Chen, CEO da Bitget, enviou à Bybit um empréstimo de 40.000 ETH (equivalente a aproximadamente US$ 100 milhões) — sem juros ou garantias. "Nunca questionamos a capacidade deles de nos pagar", disse Chen.
Entre reuniões de crise, Zhou manteve os usuários atualizados sobre o caso X, chegando a publicar uma captura de tela de um aplicativo de saúde que mostrava que seus níveis de estresse estavam excepcionalmente baixos.
"Estava muito concentrado em comandar todas as reuniões. Esqueci de dar ênfase ao estresse", escreveu ele. "Acho que logo vou entender de verdade o conceito de perder US$ 1,5 bilhão."
Enquanto isso, o Lazarus Group continuou lavando o dinheiro roubado. Usando uma estratégia de lavagem de dinheiro já vista em outros ataques, eles espalharam os ativos por inúmeras carteiras, canalizando-os através de mixers e redes P2P. Apesar da Bybit e outras corretoras terem congelado parte dos fundos, traco restante se tornou uma corrida contra o tempo.
