No mês passado, hackers roubaram a impressionante quantia de US$ 1,5 bilhão da corretora de criptomoedas Bybit, no que o mercado apelidou de "o maior assalto digital de todos os tempos". Sem surpresa, a escala do ataque levou muitos a questionarem novamente a segurança das criptomoedas, com críticos apontando o dedo para as vulnerabilidades de segurança do setor. Mas aqui está a reviravolta: as carteiras cumpriram seu papel. O problema não foi uma falha da tecnologia subjacente – foi uma falha da segurança "humana".
O que exatamente deu errado?
O ponto principal é que o hack da Bybit não foi uma falha na segurança do blockchain - os invasores não invadiram um sistema impenetrável; eles manipularam pessoas...
Em termos bem simples, o ataque ocorreu quando a empresa estava fazendo uma transferência de rotina de Ethereum de uma carteira 'fria' offline (uma solução de armazenamento offline altamente segura, projetada para proteger ativos de ameaças cibernéticas, mantendo chaves privadas completamente desconectadas da internet) para uma carteira 'quente' (uma carteira semi-online usada para liquidez operacional, permitindo acesso mais rápido aos fundos, mantendo algumas medidas de segurança) para atividades diárias de negociação.
Os hackers obtiveram acesso à conta do software que ajuda a Bybit a controlar essas transferências, comprometendo a máquina de um desenvolvedor. Eles modificaram remotamente a interface do usuário, injetando código malicioso que manipulou o processo de aprovação de transações da carteira. Funcionários que normalmente autorizam essas transferências viram o que pareciam transações legítimas, mas, nos bastidores, os invasores reescreveram as regras, desviando fundos diretamente para contas controladas pelos hackers.
Para piorar a situação, o ataque utilizou a "assinatura às cegas". Ao aprovar as transações, os funcionários estavam, na prática, assinando algo que não conseguiam ver completamente na tela. Os invasores manipularam esse processo com tanta eficácia que os funcionários acreditaram que estavam aprovando transferências de rotina.
A combinação de manipulação da interface do usuário e assinatura cega criou uma fraude quase perfeita. Importante ressaltar, porém, que não foi a tecnologia das criptomoedas que falhou. Foi um caso de erro humano catastrófico.
Os fundos podem ser recuperados?
O ataque foi atribuído ao grupo de hackers patrocinado pelo Estado norte-coreano, o Lazarus Group, que tem um histórico de atacar bolsas de criptomoedas para financiar a economia da Coreia do Norte e programas sancionados.
Contra esse grupo está a rastreabilidade do blockchain. Com todos os olhos voltados para os fundos roubados e todas as transações de blockchain visíveis publicamente, conseguir depositar o dinheiro será tão difícil quanto roubá-lo (embora alguns fundos também tenham sido convertidos em moedas com foco em privacidade, como o Monero, que são muito mais difíceis de rastrear).
Importante ressaltar que a Bybit agiu rapidamente para tranquilizar os clientes e trabalhou com agilidade para garantir financiamento emergencial e restaurar a liquidez. Eles também lançaram um programa abrangente de recompensas, oferecendo recompensas de 5% para indivíduos ou empresas que ajudarem a identificar e congelar esses fundos roubados. Uma tabela de classificação em tempo real foi criada para acompanhar o progresso, transformando detetives de criptomoedas em heróis!
Prevenindo ataques futuros
Se há uma lição que podemos tirar desse ataque é que o setor precisa de proteções mais fortes contra crimes cibernéticos, incluindo crimes cibernéticos direcionados a humanos.
As bolsas precisam ir além da segurança tradicional. O perigo da "assinatura cega" foi esclarecido e precisa ser eliminado gradualmente em favor da assinatura clara de transações, para que os usuários possam realmente ver o que estão aprovando.
Além disso, a autenticação multifator para esse tipo de assinatura poderia ser habilitada se as exchanges optassem por usar carteiras de computação multipartidárias, que começaram a ganhar popularidade em muitos círculos em relação às frases-semente, tornando o comprometimento de chaves muito mais difícil. As carteiras MPC distribuem "fragmentos" de chaves privadas entre várias partes, reduzindo o risco de um único ponto de falha. Ao contrário das frases-semente tradicionais, o MPC elimina o risco de uma única chave exposta levar ao comprometimento total da conta.
Os funcionários precisam de melhor treinamento — exercícios de prevenção a ataques cibernéticos devem ser rotineiros e treinamentos de conscientização sobre phishing devem ser contínuos. Os invasores estão ficando mais inteligentes e as bolsas precisam garantir que suas equipes consigam reconhecer um sinal de alerta antes que seja tarde demais.
O monitoramento em tempo real precisa ser o padrão - sistemas de segurança baseados em IA podem sinalizar padrões de transações incomuns instantaneamente, acionando revisões imediatas e ajudando a prevenir retiradas não autorizadas.
O panorama geral
Este hack não expôs falhas no blockchain em si, mas expôs os riscos de erro humano e fraude. Essa distinção, no entanto, não fez muita diferença para o público em geral. O dano já estava feito, e a confiança na segurança das criptomoedas sofreu mais um golpe.
Os hackers continuarão chegando... A verdadeira questão é se a indústria de criptomoedas aprenderá com a Bybit e agirá agora para evitar o próximo ataque. Se não o fizerem, é apenas uma questão de tempo até que outra violação bilionária abale o mercado novamente.
