A corretora Bybit processou mais de R$ 31 bilhões em retiradas de criptomoedas nas últimas 24 horas. Na manhã desta sexta-feira (22), a corretora perdeu R$ 8,2 bilhões em um ataque hacker, gerando uma corrida de saques na plataforma.
Em live realizada após o incidente, Ben Zhou, CEO da Bybit, afirmou que sua corretora estava solvente e possuia ativos de sobra para cobrir as perdas. No entanto, isso não foi suficiente para evitar as saídas.
Cerca de 10 horas após o hack, a Bybit já havia processado mais de 350.000 pedidos de saques.
Como a Bybit foi hackeada?
Embora ainda não exista uma nota oficial emitida pela Bybit, a própria comunidade já começou a publicar estudos sobre como a corretora sofreu o maior hack da história da indústria de criptomoedas.
Segundo investigações de ZachXBT, o ataque foi realizado por hackers da Coreia do Norte. O motivo apontado pelo detetive foi a reutilização de endereços ligados a hacks passados, como da Phemex e da BingX.
Já o usuário 23pds aponta que os funcionários da Bybit sofreram um ataque de engenharia social pelo Grupo Lazarus.
“Os hackers do Lazarus primeiro identificaram os funcionários-alvo por meio de engenharia social, adicionaram acesso a repositórios privados do GitHub às vítimas ou funcionários comprometidos por meio de ferramentas de chat ao vivo e enganaram os usuários para executarem o código que continha o backdoor.”
“Para alcançar seu objetivo de enganar as vítimas e fazê-las executar o código, os hackers do Lazarus fizeram pagamentos diretos de centenas ou até milhares de dólares às vítimas antecipadamente… Apenas para ganhar a confiança da vítima”, escreveu 23pds.
Já, David, fundador da Aithos, comenta que o hack envolveu quatro etapas. Embora simples, ele aponta que o ataque foi “altamente sofisticado” e que os hackers possuem um conhecimento técnico profundo do funcionamento interno da EVM [Ethereum Virtual Machine].
- O invasor implantou um contrato trojan e um contrato backdoor.
- O invasor enganou os assinantes da carteira fria multisig atualizável para autorizarem uma transferência maliciosa de ERC-20 para um contrato trojan.
- Em vez de transferir os tokens, o contrato trojan substituiu a cópia mestre da implementação real do contrato multisig da Safe pelo contrato backdoor, o qual é totalmente controlado pelo invasor.
- O invasor chamou as funções sweepETH e sweepERC20 para esvaziar a carteira de todo o saldo de ETH nativo, mETH, stETH e cmETH.
Partindo para os detalhes técnicos, David explica que a carteira multisig é atualizável por meio de um contrato proxy e o contrato precisa carregar o código de algum lugar.
“No código do proxy, o proxy carrega a implementação real do multisig de algo chamado “master copy” (cópia mestra). Onde está a “master copy”? No slot de armazenamento 0. O efeito é que a carteira multisig foi “atualizada” para usar o contrato backdoor!”
“Lembre-se de que a transação foi configurada para ser uma operação de ‘delegate call’. Isso instrui a Ethereum Virtual Machine (EVM) a armazenar as informações não no contrato backdoor, mas no contrato da carteira fria, sobrescrevendo o que estava lá”, escreveu David.
CEO da Bybit fala sobre corrida de saques e trabalho da equipe
As primeiras informações mostravam que a Bybit havia perdido R$ 6,4 bilhões em Ethereum (401.346 ETH). Mais tarde, esses números foram atualizados para R$ 8,2 bilhões, com a adição de 90.376 stETH (R$ 1,44 bilhão), 15.000 cmETH (R$ 240 milhões), e 8.000 mETH (R$ 128 milhões).
Como comparação, até então o maior ataque da história havia sido o da Ronin, de R$ 3 bilhões, em 2022.
Embora a perda dessa quantia já cause um grande impacto em qualquer empresa, até mesmo em uma gigante como a Bybit, a corretora precisou resolver outro problema, a crise de confiança com seus clientes.
Afinal, a perda foi tão grande que a corretora poderia estar insolvente, o que gerou uma corrida de saques.
Até então, a corretora está lidando muito bem com o incidente. Além de reconhecer prontamente o ataque, Ben Zhou, co-fundador e CEO da Bybit, abriu uma live para responder perguntas e explicar quais seriam os próximos passos da corretora.
Em suma, o executivo reconheceu a falha, notando que somente a carteira fria de Ethereum foi afetada e afirmou que possuem fundos de sobra para honrar saques.
Entretanto, disse que não estariam comprando ETH de imediato, mas sim dependendo de seus parceiros. No total, os fundos perdidos representam cerca de 70% de suas reservas de Ethereum.
Devido ao grande histórico de quebras do setor devido a hacks, especialmente de nomes como Mt.Gox e Cryptopia, usuários mais cautelosos correram para retirar seus fundos da Bybit.
Nesta parte, a corretora também se mostrou muito profissional. Além de escolher não travar saques, algo sugerido até mesmo por Changpeng Zhao, fundador da Binance, a Bybit processou todos os pedidos de saque até então.
“Desde o hack (há 10 horas), a Bybit registrou o maior volume de saques que já vimos. Tivemos um total de mais de 350 mil solicitações de saque, e, até o momento, restam cerca de 2.100 solicitações a serem processadas. No geral, 99,994% dos saques foram concluídos”, escreveu Zhou, CEO da Bybit.
“Doze horas desde o pior hack da história. Todos os saques foram processados. Nosso sistema de saques está totalmente normalizado, você pode sacar qualquer quantia sem atrasos. Agradecemos sua paciência e lamentamos que isso tenha acontecido.”
Segundo dados da DeFi Llama, a Bybit processou R$ 31 bilhões (US$ 5,5 bilhões) em retiradas nas últimas 24 horas, já somando os R$ 8,2 bilhões dos hackers.
Como comparação, usuários sacaram R$ 4,37 bilhões da Binance em 2023 após a corretora ser processada pela SEC. Antes disso, em dezembro de 2022, a Binance processou cerca de R$ 15 bilhões em retiradas em um único dia.
Portanto, isso mostra como a Bybit está passando por um verdadeiro teste de estresse de toda sua operação e, por hora, está lidando bem com tudo.
Outro ponto a ser mencionado é a comunicação de Zhou sobre uma movimentação de US$ 2,95 bilhões em USDT da carteira fria para uma carteira quente da Bybit, evitando rumores sobre um novo hack.
Mercado de criptomoedas sente impacto do hack da Bybit
Embora os bilhões perdidos pela Bybit tenham sido somente em Ethereum, quase todas criptomoedas do mercado foram atingidas pelo ataque. Como exemplo, o próprio Bitcoin opera em queda de 2,5% nas últimas 24 horas.
Ethereum cai 3,4%, uma porcentagem baixa caso se pense nesses R$ 8,2 bilhões sendo despejados no mercado. Outros nomes famosos como Cardano (ADA) e Dogecoin (DOGE) operam em quedas de 5% e 6,2%, respectivamente.
Por fim, agora a comunidade acompanha a carteira dos hackers.
Devido ao histórico do Grupo Lazarus, é difícil acreditar que eles tenham interesse em devolver os fundos em troca de alguma recompensa. Segundo informações, a Coreia do Norte estaria usando essas criptomoedas para financiar seu programa armamentista nuclear.
No entanto, é possível que parte desses fundos seja recuperado conforme sejam transferidos para outras corretoras e congelados pelos seus sistemas de conformidade.
