Na noite de 21 de fevereiro, Ben Zhou, CEO da exchange (corretora) de criptomoedas Bybit, acessou seu computador para aprovar o que parecia ser uma transação rotineira. Sua empresa estava transferindo uma grande quantidade de ether, uma moeda digital popular, de uma conta para outra.
Trinta minutos depois, Zhou recebeu uma ligação do diretor financeiro da Bybit. Com a voz trêmula, o executivo informou a Zhou que o sistema deles havia sido hackeado.
“Todo o ethereum sumiu”, ele disse.
Quando Zhou aprovou a transação, ele entregou o controle de uma conta para hackers apoiados pelo governo norte-coreano, de acordo com o FBI. Eles roubaram US$ 1,5 bilhão (cerca de R$ 8,6 bilhões) em criptomoedas, o maior roubo na história da indústria.
Para realizar a violação surpreendente, os hackers exploraram uma falha simples na segurança da Bybit: sua dependência de um produto de software gratuito. Eles penetraram na Bybit manipulando um sistema disponível publicamente que a exchange usava para proteger centenas de milhões de dólares em depósitos de clientes.
Durante anos, a Bybit confiou no software de armazenamento, desenvolvido por um fornecedor de tecnologia chamado Safe, mesmo enquanto outras empresas de segurança vendiam ferramentas mais especializadas para negócios.
O hack fez os mercados de criptomoedas despencarem e minou a confiança na indústria em um momento crucial. Sob a administração Trump, favorável às criptomoedas, executivos da indústria estão fazendo lobby por novas leis e regulamentações nos EUA que facilitariam para as pessoas investirem suas economias em moedas digitais.
Na sexta-feira, a Casa Branca está programada para sediar uma “cúpula de criptomoedas” com o presidente Donald Trump e altos funcionários da indústria.
Especialistas em segurança de criptomoedas disseram estar preocupados com o que o roubo revelou sobre os protocolos de segurança da Bybit. As perdas foram “completamente evitáveis”, escreveu uma empresa de segurança em uma análise da violação, argumentando que “não deveria ter acontecido”.
A ferramenta de armazenamento da Safe é amplamente utilizada na indústria de criptomoedas. Mas é mais adequada para entusiastas de criptomoedas do que para exchanges que lidam com bilhões em depósitos de clientes, disse Charles Guillemet, executivo da Ledger, uma empresa francesa de segurança de criptomoedas que oferece um sistema de armazenamento projetado para empresas.
“Isso realmente precisa mudar”, ele disse. “Não é uma situação aceitável em 2025.”
Na Bybit, o hack desencadeou 48 horas frenéticas. A empresa supervisiona até US$ 20 bilhões (cerca de R$ 115 bilhões) em depósitos de clientes, mas não tinha ether suficiente em mãos para cobrir as perdas do roubo de US$ 1,5 bilhão.
Zhou, 38, correu para manter o negócio à tona, pegando empréstimos de outras empresas e utilizando reservas corporativas para atender a um aumento nos pedidos de retirada. Nas redes sociais, ele parecia surpreendentemente relaxado, anunciando algumas horas após o roubo que seus níveis de estresse estavam “não muito ruins”.
À medida que a crise se desenrolava, o preço do bitcoin, um indicador da indústria, despencou 20%. Foi a queda mais acentuada desde o fracasso da FTX em 2022, a exchange administrada pelo desacreditado magnata Sam Bankman-Fried.
Em uma entrevista esta semana, Zhou reconheceu que a Bybit tinha um aviso prévio sobre possíveis problemas com a Safe. Três ou quatro meses antes do hack, ele disse, a empresa percebeu que o software não era totalmente compatível com um de seus outros serviços de segurança.
“Deveríamos ter atualizado e nos afastado da Safe”, disse Zhou. “Definitivamente estamos procurando fazer isso agora.”
Rahul Rumalla, diretor de produto da Safe, disse em um comunicado que sua equipe criou novos recursos de segurança para proteger os usuários e que os produtos da Safe eram “a espinha dorsal do tesouro para algumas das maiores organizações do setor.”
“Nosso trabalho não é apenas corrigir o que aconteceu”, disse Rumalla, “mas garantir que todo o setor aprenda com isso, para que isso não aconteça novamente.”
Fundada em 2018, a Bybit opera como um mercado de criptomoedas, onde traders diários e investidores profissionais podem converter seus dólares ou euros em bitcoin e ether. Muitos investidores tratam exchanges como a Bybit como bancos informais, onde depositam suas criptomoedas para segurança.
Por algumas estimativas, a Bybit é a segunda maior exchange de criptomoedas do mundo, processando dezenas de bilhões de dólares todos os dias. Com sede em Dubai, Emirados Árabes Unidos, não oferece serviços a clientes nos Estados Unidos.
Em 21 de fevereiro, Zhou estava em casa em Singapura, terminando algum trabalho, disse ele na entrevista.
Mas primeiro, ele e outros dois executivos precisavam aprovar uma transferência de criptomoedas de uma conta para outra. Essas transferências rotineiras deveriam ser seguras: nenhuma pessoa na Bybit pode executá-las sozinha, criando múltiplas camadas de proteção contra ladrões.
Nos bastidores, no entanto, um grupo de hackers já havia invadido o sistema da Safe, de acordo com a auditoria da Bybit sobre o hack. Eles comprometeram um computador pertencente a um desenvolvedor da Safe, disse uma pessoa com conhecimento do assunto, permitindo-lhes plantar código malicioso para manipular transações.
Um link enviado via Safe convidou Zhou a aprovar a transferência. Era uma armadilha. Quando ele aprovou, os hackers tomaram o controle da conta e roubaram US$ 1,5 bilhão em criptomoedas.
Os saques repentinos apareceram no blockchain, um livro público de transações de criptomoedas. Analistas de criptomoedas rapidamente identificaram o culpado como o Grupo Lazarus, um sindicato de hackers apoiado pelo governo norte-coreano.
Para limitar os danos, outras empresas de criptomoedas ofereceram ajuda. Gracy Chen, CEO de uma exchange rival, Bitget, emprestou à Bybit 40 mil em ether, ou aproximadamente US$ 100 milhões (cerca de R$ 575 milhões), sem solicitar juros ou mesmo garantias.
Após saquear a Bybit, os hackers norte-coreanos espalharam os fundos roubados por uma vasta rede de carteiras de criptomoedas online, uma estratégia de lavagem de dinheiro que também empregaram após outros roubos.
Zhou disse que gostaria de ter agido mais cedo para reforçar as defesas da Bybit. “Há muitos arrependimentos agora”, ele disse. “Eu deveria ter prestado mais atenção nessa área.”
Ainda assim, a Bybit continuou operando após o hack, processando todos os saques em 12 horas, disse Zhou. Pouco depois da violação, ele anunciou no X que a empresa estava movimentando cerca de outros US$ 3 bilhões (cerca de R$ 17,2 bilhões) em criptomoedas.
“Esta é uma manobra planejada, para sua informação”, ele escreveu. “Não fomos hackeados desta vez.”
