A Bybit reportou oficialmente o ataque hacker de US$ 1,5 bilhão às autoridades, lançando um esforço agressivo para trace bloquear os 401.000 ETH roubados de sua carteira fria. A exchange confirmou que a polícia está envolvida e que equipes forenses estão trabalhando para desvincular os endereços dos hackers e limitar a possibilidade de venda dos fundos.
A Bybit anunciou o desenvolvimento no X, dizendo :
“Já reportamos o caso às autoridades competentes e enviaremos uma atualização assim que tivermos mais informações. Felizmente, trabalhamos de forma rápida e abrangente com provedores de análise on-chain paradente separar os endereços envolvidos. Essas ações irão mitigar e impedir a capacidade de agentes mal-intencionados de se desfazerem e despejarem ETH nos mercados por meio de plataformas legítimas, reduzindo as opções disponíveis para a venda.”
O CEO responde enquanto a Bybit luta para controlar as consequências
O CEO da Bybit, Ben Zhou, respondeu em 30 minutos após os primeiros relatos do ataque. Ele confirmou que 401.000 ETH haviam sido roubados da carteira fria da Bybit, mas garantiu aos usuários que a exchange permanecia totalmente operacional.
Zhou deu continuidade à situação com uma transmissão ao vivo no X e no YouTube, onde respondeu a perguntas em tempo real. "Estamos processando os saques normalmente", disse ele aos usuários. "Os saques de clientes de varejo estão sendo priorizados e estamos processando milhares de solicitações por hora." A transparência da Bybit ajudou a manter o pânico sob controle, com Zhou garantindo aos traders que as reservas da Bybit eram garantidas na proporção de 1:1 e que nenhum fundo havia sido congelado.
O ataque teve como alvo as carteiras multisig Gnosis Safe da Bybit, o que Zhou admitiu ter sido o ponto de falha. A Bybit já revogou o acesso comprometido, mas o dano já estava feito. O hacker, posteriormente ligado ao grupo norte-coreano Lazarus, executou o ataque explorando processos multisig vulneráveis.
A Bybit confirmou que 4.000 saques estavam pendentes imediatamente após a violação, mas Zhou afirmou que a exchange obteve um empréstimo-ponte para manter as operações em andamento. "Estamos processando todos os pedidos de saque o mais rápido possível", disse ele. "O ataque foi significativo, mas não afeta a saúde financeira da Bybit."
A Bybit não se limitou a reportar o ataque — ela partiu para o ataque direto contra os hackers. Zhou deixou claro que vender o ETH roubado seria extremamente difícil, já que a Bybit já havia sinalizado e bloqueado as carteiras envolvidas.
O analista on-chain ZachXBT foi o primeiro a associar a vulnerabilidade explorada pela Bybit ao Lazarus Group, o grupo de hackers norte-coreano conhecido por ataques de grande repercussão anteriores. ZachXBT confirmou que o caso da Bybit correspondia a padrões observados em ataques anteriores à Phemex e à Atomic Wallet.
A Bybit também recorreu a seus parceiros, corretoras e formadores de mercado como Binance e Bitget para impedir a movimentação do ETH roubado, e por isso agora incluíram as carteiras em sua lista negra. Ao contrário do que aconteceu quando a FTX precisou de ajuda durante seu colapso em 2022, e a corretora de criptomoedas se distanciou, as conexões da Bybit no setor se uniram em apoio à corretora.
A Bybit adotou uma abordagem direta com a Lazarus, sabendo que eles provavelmente estavam assistindo à transmissão ao vivo, e Zhou repetidamente disse a eles que movimentar os fundos seria impossível e os incentivou a negociar.
A Bybit então informou seus usuários: “Queremos assegurar aos nossos usuários e parceiros que todas as outras carteiras frias da Bybit permanecem totalmente seguras. Todos os fundos dos clientes estão protegidos e nossas operações continuam normalmente, sem qualquer interrupção. Transparência e segurança continuam sendo nossas principais prioridades e forneceremos atualizações assim que possível.”
