O que aconteceu no ataque à Bybit?
Uma análise detalhada do ataque revelou que o grupo Lazarus, ligado ao governo da Coreia do Norte, utilizou um método sofisticado de engenharia social para comprometer um desenvolvedor da Safe{Wallet}. Com isso, os hackers conseguiram criar uma transação maliciosa disfarçada, que impactou uma conta operada pela Bybit.
A investigação também concluiu que não houve falhas nos smart contracts da Safe{Wallet}, nem no seu frontend ou infraestrutura. O ataque aconteceu por meio da infecção de um dispositivo usado no desenvolvimento da plataforma.
O que a Safe{Wallet} fez para mitigar novos ataques?
Após detectar o incidente, a equipe da Safe{Wallet} tomou uma série de medidas para reforçar sua segurança, incluindo:
Reconstrução completa da infraestrutura
Reconfiguração dos sistemas de segurança
Rotatividade de todas as credenciais e acessos
Melhorias na verificabilidade das transações para evitar ataques semelhantes
Safe{Wallet} segue funcional, mas com alerta aos usuários
A Safe{Wallet} já foi restaurada na Ethereum mainnet, com um desdobramento faseado para garantir maior segurança. No entanto, a equipe alerta para que usuários sejam extremamente cautelosos ao assinar transações, pois esse tipo de ataque pode se repetir em diferentes plataformas do setor.
A empresa também se comprometeu a publicar um post-mortem completo sobre o ataque assim que a investigação for concluída.
CZ questiona a Safe{Wallet} sobre o ataque
O fundador da Binance, Changpeng Zhao (CZ), também se manifestou sobre o caso, criticando a falta de clareza no comunicado oficial da Safe{Wallet}. Em um post no X (antigo Twitter), CZ afirmou:
“Eu geralmente tento não criticar outros players da indústria, mas faço isso de vez em quando. 😂 Essa atualização da Safe não é tão boa. Usa uma linguagem vaga para encobrir os problemas. Tenho mais perguntas do que respostas depois de ler isso”
CZ ainda levantou questionamentos importantes sobre o incidente:
O que significa “comprometer a máquina de um desenvolvedor da Safe{Wallet}”? Como esse hack aconteceu? Foi engenharia social, um vírus, ou outro método?
Como uma máquina de desenvolvedor teve acesso a “uma conta operada pela Bybit”? Algum código foi implantado diretamente da máquina para produção?
Como os hackers enganaram a etapa de verificação da Ledger em múltiplos signatários? Foi assinatura cega ou os signatários não verificaram corretamente?
O endereço hackeado era o maior gerenciado pela Safe? Se sim, por que os hackers não tentaram atacar outros?
Quais lições outros provedores de “auto custódia e multi-sig” podem aprender com esse caso?
I usually try not to criticize other industry players, but I still do it once in a while. 😂
— CZ 🔶 BNB (@cz_binance) February 26, 2025
This update from Safe is not that great. It uses vague language to brush over the issues. I have more questions than answers after reading it.
1. What does "compromising a Safe… https://t.co/VxywHyzqXb
Esse incidente reforça os riscos de ataques direcionados a desenvolvedores e mostra como o erro humano continua sendo um dos vetores de ataque mais explorados pelos hackers. Mesmo sem falhas técnicas nos smart contracts, um simples comprometimento de um dispositivo pode colocar milhões em risco. O caso da Bybit e da Safe{Wallet} é um alerta para toda a indústria cripto reforçar medidas de segurança e treinamentos contra ataques de engenharia social.
