O grupo norte-coreano Lazarus foi exposto como o grupo por trás do ataque hacker à Bybit

A Bybit foi alvo de um ataque hacker hoje, e agora sabemos exatamente quem foi o responsável. O infame Grupo Lazarus, um sindicato cibercriminoso apoiado pelo Estado norte-coreano, foi exposto como o mentor do ataque que causou o roubo de US$ 1,5 bilhão da Bybit, o maior furto de criptomoedas da história.

A confirmação veio de ZachXBT, um dos investigadores on-chain mais respeitados do setor, que apresentou provas indiscutíveis ligando Lazarus ao ataque.

A Arkham Intelligence, que havia oferecido uma recompensa de US$ 50.000 (ARKM) paradentos atacantes, confirmou rapidamente as descobertas. A análise incluiu, segundo relatos, conexões de carteiras, transações de teste e dados forenses on-chain, todos apontando diretamente para o Lazarus Group.

ZachXBT, em colaboração com Josh da ChainFeeds (CF), conectou os pontos entre a violação de segurança da Bybit e um ataque anterior à Phemex, outra corretora de criptomoedas. A pesquisa deles mostrou que os mesmos endereços, padrões de lavagem de dinheiro e metodologias de exploração foram usados ​​em ambos os casos. Ficou claro: Lazarus estava por trás de tudo.

BREAKING: RECOMPENSA DE US$ 1 BILHÃO POR HACK DA BYBIT RESOLVIDA POR ZACHXBT

Às 19:09 UTC de hoje, @zachxbt apresentou defide que este ataque à Bybit foi realizado pelo GRUPO LAZARUS.

Sua submissão incluiu uma análise detalhada das transações de teste e das carteiras conectadas usadas antes de… https://t.co/O43qD2CM2U pic.twitter.com/jtQPtXl0C5

– Arkham (@arkham) 21 de fevereiro de 2025

A recompensa de Arkham, avaliada em US$ 32.000, era uma gota no oceano comparada ao que Bybit acabara de perder. Mas a rapidez com que a recompensa funcionou é inacreditável. Em menos de uma hora, ZachXBT já havia resolvido o caso.

O grupo norte-coreano Lázaro vem drenandomatica indústria de criptomoedas há anos, financiando o programa de mísseis balísticos de Pyongyang com criptomoedas roubadas.

O CEO da Bybit, Ben Zhou, confirmou que a exchange permanece totalmente operacional após o ataque, garantindo aos usuários que: “A carteira quente, a carteira morna e todas as outras carteiras frias da Bybit estão funcionando normalmente. A única carteira fria que foi afetada foi a carteira fria de ETH. Todos os saques estão ocorrendo normalmente.”

Em uma declaração posterior, Zhou reiterou que a Bybit permanece solvente, independentemente dos fundos roubados. "Todos os ativos dos clientes são garantidos na proporção de 1 para 1. Podemos cobrir o prejuízo."

Antes do ataque hacker à Bybit de hoje, o maior ataque da história das criptomoedas havia sido o ataque à Ronin Network, que causou um prejuízo de US$ 600 milhões em 23 de março de 2022.

Zhou explicou que a carteira fria multisig Ethereum (ETH) da Bybit havia feito uma transferência para a carteira quente da exchange cerca de uma hora antes do ataque. A transação pareceu normal a princípio.

“Aparentemente, essa transação específica foi mascarada”, disse Zhou. “Todos os signatários viram uma interface de usuário mascarada que mostrava o endereço correto, e a URL era da Safe.”

Mas a mensagem de assinatura em si alterou a lógica dotracinteligente da carteira fria de ETH da Bybit. Isso permitiu que o hacker assumisse o controle da carteira e transferisse todo o ETH para um endereçodentidentificado.