O hack da Bybit e o grupo Lázaro

Em 21 de fevereiro de 2025, o mundo das criptomoedas testemunhou um evento que redefiniu os limites da segurança digital: o hack da Bybit, uma das maiores corretoras centralizadas (CEXs) do planeta, resultou no roubo de aproximadamente 401.346,77 moedas de Ethereum, equivalentes a US$ 1,4 bilhão na cotação da data.

Executado em menos de 20 minutos, o ataque não foi apenas o maior roubo de criptomoedas da história, mas também um golpe que expôs as fragilidades persistentes das plataformas centralizadas, mesmo em um ecossistema que, em 2025, já se considerava maduro.

Atribuído ao Grupo Lázaro, um coletivo de hackers ligado à Coreia do Norte, o incidente reacendeu debates fundamentais sobre a essência do dinheiro digital: sua segurança, descentralização e neutralidade tecnológica.

O recente hack da Bybit revela vulnerabilidades em uma carteira de Ethereum que se considerava segura, com hackers transferindo fundos para a rede Bitcoin, explorando suas características únicas de incensurabilidade e resistência a intervenções. Esse incidente transformou o ecossistema cripto em um campo de batalha financeiro.

🔔 Entre em nosso grupo no WhatsApp e fique atualizado.

O envolvimento do Grupo Lázaro, um ator estatal por trás do ataque, traz à tona questões sobre a crescente militarização do espaço digital. Ao comparar esse hack com ataques anteriores, como os da Ronin e da Harmony Horizon Bridge, fica claro que as falhas de segurança no universo cripto são um desafio contínuo.

Conteúdo da página

Diferenças entre a Multisig do Ethereum e do Bitcoin

No Bitcoin, carteiras multisig (múltiplas assinaturas) são implementadas nativamente no protocolo através do script P2SH (Pay-to-Script-Hash) ou P2WSH (Pay-to-Witness-Script-Hash). Essa abordagem permite configurações como “2-de-3” ou “3-de-5”, onde são necessárias múltiplas assinaturas de chaves privadas distintas para autorizar uma transação.

A implementação nativa do Bitcoin oferece maior simplicidade e menor superfície de ataque, com custo de transação geralmente mais previsível. As soluções multisig do Bitcoin são testadas há mais de uma década, com um histórico comprovado de segurança, e sua implementação de baixo nível torna a auditoria mais direta, sem a complexidade adicional das linguagens de programação de smart contracts.

No Ethereum, carteiras multisig são implementadas através de contratos inteligentes, com código personalizado escrito em linguagens como Solidity. Isso proporciona maior flexibilidade, permitindo lógicas complexas além da simples contagem de assinaturas, como limites de gastos, restrições de tempo e regras condicionais sofisticadas.

Entretanto, essa flexibilidade vem com o custo de uma superfície de ataque maior, introduzindo vulnerabilidades potenciais no próprio código do contrato inteligente. Diferente do Bitcoin, onde o multisig é parte do protocolo base, no Ethereum cada implementação multisig pode variar significativamente, exigindo auditoria específica. Os custos de transação da rede Ethereum (gas) também podem ser mais elevados e variáveis dependendo da complexidade do contrato.

Como o Ataque Foi Realizado?

O hack ocorreu durante uma transferência padrão entre carteiras internas da Bybit ou qualquer outra corretora: a movimentação de fundos de uma carteira multisig fria (usada como cofre e desconectada da internet) para uma carteira quente (usada para operações diárias). Nesse momento, os invasores aproveitaram uma falha no sistema de assinatura digital do contrato inteligente do Ethereum.

A estratégia utilizada foi sofisticada: os atacantes criaram uma cópia idêntica da interface de assinatura da Bybit. Dessa forma, os responsáveis pelas autorizações visualizaram o endereço e valor corretos, sem detectar que a programação do contrato inteligente tinha sido alterada. A aprovação final veio do próprio CEO, Ben Zhou.

A interface foi duplicada para mostrar dados autênticos — o endereço de destino e o valor exato —, gerando uma ilusão de normalidade. Quando os autorizadores aprovaram a operação, a lógica interna do contrato já estava comprometida. Após conquistar o acesso, os hackers distribuíram os mais de 400.000 ETHs entre aproximadamente 53 carteiras diferentes, complicando os esforços de rastreamento.

Somente com as moedas roubadas neste hack, o Grupo Lázaro chegou a controlar 0,42% de todo o Ethereum. Vale notar que agora o Grupo Lázaro e, consequentemente, a Coreia do Norte, controlam mais Ethereum que o próprio Vitalik Buterin e a Ethereum Foundation, que detêm cerca de US$ 590 milhões cada.

Quem é o Grupo Lázaro?

O Grupo Lázaro não é um coletivo de hackers comum; é uma máquina de guerra cibernética patrocinada pelo governo da Coreia do Norte, projetada para operar nas sombras e financiar um regime isolado por sanções internacionais.

Ativo desde pelo menos 2007, o grupo é vinculado ao Reconnaissance General Bureau (RGB), a principal agência de inteligência militar norte-coreana, e opera sob codinomes como APT38 e Hidden Cobra. Segundo desertores como Kim Kuk-song, ex-oficial de inteligência, o Grupo Lázaro é conhecido internamente como “414 Liaison Office” e foi criado para combinar espionagem, sabotagem e crimes financeiros em uma única força letal.

A origem do Grupo Lázaro remonta à década de 2000, quando a Coreia do Norte começou a investir em capacidades cibernéticas para compensar sua economia debilitada. Seus membros são recrutados entre os melhores alunos de instituições como a Kim Chaek University of Technology, em Pyongyang, e recebem treinamento avançado em locais como Shenyang, na China. Equipados com habilidades em programação, engenharia social e exploração de sistemas, eles operam com um objetivo claro: gerar receita para o regime.

Antes de se voltar para o cripto, o Grupo Lázaro deixou marcas em alvos globais. Em 2014, hackeou a Sony Pictures em retaliação ao filme The Interview, vazando dados sensíveis e causando caos. Em 2016, tentou roubar 1 bilhão de dólares do Banco de Bangladesh via SWIFT, conseguindo 81 milhões de dólares antes de ser interrompido. Em 2017, lançou o ransomware WannaCry, infectando 200.000 computadores em 150 países e exigindo resgates em Bitcoin. Esses ataques demonstraram sua capacidade de operar em larga escala, mas foi no ecossistema cripto que o grupo encontrou sua verdadeira oportunidade.

O foco em criptomoedas começou por volta de 2017, quando o Bitcoin e o Ethereum começaram a ganhar tração global. A natureza pseudônima e transfronteiriça das blockchains oferecia um canal perfeito para contornar sanções e lavar dinheiro. O primeiro grande golpe veio naquele ano contra a corretora sul-coreana Youbit, com o roubo de 4.000 BTC que levou à falência da empresa. Em 2018, o ataque à Coincheck, no Japão, rendeu US$ 530 milhões em NEM, consolidando o Grupo Lázaro como uma ameaça séria.

Conversão de Ethereum para Bitcoin

O roubo de 401.346,77 Ethereum da Bybit, em 21 de fevereiro de 2025, marcou apenas o início de uma operação meticulosamente planejada pelo Grupo Lázaro. Após comprometer a carteira multisig da corretora, os hackers não se limitaram a manter os fundos em Ethereum; logo iniciaram sua conversão para Bitcoin, uma jogada estratégica que revela a preferência pelo poder da rede Bitcoin.

Após a transferência inicial, os 401.000 ETHs foram fragmentados em mais de 50 carteiras, com lotes variando de 5.000 a 10.000 ETHs. Derivativos como stEthereum e mEthereum, parte das reservas da Bybit, foram rapidamente convertidos em Ethereum puro utilizando corretoras descentralizadas (DEXs) como Uniswap e Curve, aproveitando a liquidez do ecossistema Ethereum.

A conversão de Ethereum para Bitcoin foi realizada por meio de pontes cross-chain e plataformas híbridas. Uma parte dos fundos foi enviada a mixers como Wasabi Wallet, uma ferramenta de privacidade na rede Bitcoin, dificultando ainda mais o rastreamento.

Essa estratégia reflete uma abordagem em duas fases: explorar as vulnerabilidades do Ethereum para o roubo e utilizar as forças do Bitcoin para preservar os ganhos. A incensurabilidade e inconfiscabilidade do Bitcoin — sua resistência a bloqueios por autoridades centralizadas e à apreensão direta na blockchain — o tornam um escudo contra tentativas de recuperação.

Até o momento, os hackers converteram 96% do Ethereum roubado em Bitcoin, utilizando mais de 2.000 transações na exchange descentralizada THORChain para dificultar ainda mais o rastreamento. Esse ataque segue o padrão de roubos cibernéticos anteriores atribuídos à Coreia do Norte, como o roubo de US$ 1,34 bilhão em 2024, utilizado para financiar o regime norte-coreano, apesar das sanções internacionais.

Embora a Bybit e as autoridades estejam trabalhando com empresas como Chainalysis para congelar e recuperar os ativos roubados, os esforços têm se mostrado infrutíferos até agora, destacando a crescente ameaça cibernética ao setor de criptomoedas.

O hack da Bybit e a subsequente conversão de Ethereum para Bitcoin pelo Grupo Lázaro destacam as vulnerabilidades do ecossistema cripto e as diferenças fundamentais entre as duas maiores redes blockchain do mundo. Enquanto o Ethereum supostamente oferece flexibilidade e inovação, o Bitcoin se destaca por sua segurança e resistência a intervenções.

Esse evento histórico serve como um alerta para o setor: a segurança das criptomoedas ainda é um desafio crítico, e a evolução dos ataques cibernéticos exige uma resposta igualmente sofisticada. Enquanto isso, o Grupo Lázaro continua a operar nas sombras, transformando o ecossistema cripto em um campo de batalha financeiro.