Bybit sofre prejuízo de US$ 1,5 bi (R$ 2,1 tri) com hack; CEO diz que "é possível cobrir a perda"

 (tradingview.com)
1 pontos por GN⁺ 2025-02-23 | 2 comentários | Compartilhar no WhatsApp
  • A corretora de criptomoedas Bybit sofreu "saques suspeitos" de cerca de US$ 1,46 bilhão
  • A carteira em questão transferiu 401.346 ETH (cerca de US$ 1,1 bilhão) e stETH (ETH em staking), entre outros, para uma nova carteira
  • A nova carteira está atualmente liquidando mETH e stETH em exchanges descentralizadas e já foi confirmado que vendeu stETH no valor de cerca de US$ 200 milhões até agora
  • O CEO da Bybit, Ben Zhou, afirmou no X que "uma cold wallet específica de ETH foi comprometida por um hacker, e todo o ETH foi transferido"
    • No entanto, acrescentou que "as outras cold wallets estão seguras, e todos os saques estão ocorrendo normalmente"
  • A perda de US$ 1,46 bilhão pode entrar para a história como o maior hack de criptomoedas de todos os tempos
    • Comparação com grandes casos anteriores de hack:
      • Hack da Mt. Gox (2014): perda de US$ 470 milhões
      • Hack da CoinCheck (2018): perda de US$ 530 milhões
      • Hack da Ronin Bridge (2022): perda de US$ 650 milhões
    • Após a notícia do hack, o Bitcoin (BTC) caiu 1,5% e o Ethereum (ETH) recuou mais de 2%

Conteúdo do anúncio oficial do CEO da Bybit e explicação incluída nos comentários

  • O CEO da Bybit anunciou no X que a cold wallet multisig de ETH executou uma transferência para uma warm wallet
    • Porém, essa transação específica estava "mascarada", e a UI vista pelos signatários mostrava o endereço correto
    • A URL também aparecia como o serviço seguro de assinatura @safe (https://safe.global/wallet)
    • No entanto, a mensagem realmente assinada alterava a lógica do smart contract da cold wallet de ETH, e com isso o hacker assumiu o controle da cold wallet e transferiu todo o ETH
  • A maioria das hardware wallets não consegue interpretar transações de smart contracts EVM
    • Hardware wallets usam "blind signing", assumindo que a tela exibida ao signatário corresponde aos dados binários reais que estão sendo assinados
    • Segundo o CEO, a URL correta foi verificada, e vários signatários assinaram em locais diferentes usando dispositivos distintos
    • Mesmo assim, a UI de todos os signatários foi manipulada, o que sugere um ataque sofisticado
  • Previsões sobre possíveis formas de ataque
    • Adulteração do link de assinatura
      • É possível que o link de assinatura tenha sido adulterado durante o envio e direcionado para uma página de phishing com um domínio homógrafo IDN
      • Ou que o site real safe.global estivesse vulnerável a um ataque de injeção de script e tenha exibido uma UI manipulada
    • Ataque do lado do servidor
      • É possível que os servidores da Bybit tenham sido comprometidos e servido páginas manipuladas aos signatários
    • Ataque do lado do cliente
      • É possível que malware tenha sido implantado nos navegadores dos signatários para manipular a UI
    • Ataque de rede/DNS
      • É possível que os usuários tenham sido levados a um site falso por meio de hijacking de DNS ou de um certificado TLS emitido incorretamente
  • Conclusão: possibilidade de um ataque sofisticado e de longo prazo
    • Este hack parece ter sido executado após monitoramento prolongado dos sistemas internos da Bybit e análise de seus processos
    • Há indícios de que não foi um simples phishing, mas sim um ataque sob medida realizado após compreensão precisa do processo interno de assinatura da empresa
    • Caso um relatório oficial de análise do hack seja divulgado no futuro, espera-se que detalhes mais profundos sobre o método do ataque venham à tona

Leituras relacionadas

2 comentários

 
GN⁺ 2025-02-23
Opiniões no Hacker News
  • Há informações relevantes sobre a falha de segurança deste incidente no blog da Trail of Bits
  • Há informações e especulações em dois artigos, mas gostaria de saber os detalhes técnicos
    • Por exemplo, quero saber se o software do cliente foi comprometido, se os detentores das chaves de multisig cederam à engenharia social, e se os signatários usavam máquinas air-gapped ou dispositivos de hardware
  • Fico em dúvida sobre como a Bybit pode cobrir uma perda de 1,5 bilhão de dólares
    • Quero saber se eles realmente têm tanto lucro assim ou se estão tentando resolver isso no estilo MtGox
  • Não sei como funcionam as exchanges de criptomoedas
    • Gostaria que alguém explicasse isso de forma simples
    • Quero saber se o ETH dos usuários estava incluído na carteira de cold storage
    • Se sim, questiono por que uma exchange de criptomoedas guarda o ETH dos usuários em uma carteira capaz de executar transações sem a aprovação deles
    • Também me pergunto por que seria necessária uma carteira de cold storage tão grande para operar uma exchange
    • Quero entender como eles têm ativos capazes de cobrir essa perda
  • Há outras informações sobre a Bybit
    • A Bybit não é legalizada no Canadá
    • A Bybit começou em Singapura, e Singapura é um polo global de criptomoedas e tecnologia blockchain
    • Há informações conflitantes dizendo que a Bybit é segura e outras dizendo que não é
  • Se está conectada a uma exchange, então não é uma cold wallet
  • Deveria existir algo como uma "transação final", em que tanto o remetente quanto o destinatário precisariam assinar depois que a primeira transação fosse minerada
    • Se não fosse assinada, os fundos seriam devolvidos
    • Isso não impediria vazamento de chaves, mas evitaria envio para o endereço errado
  • Eu acredito em criptomoedas, mas um sistema em que 1,5 bilhão de dólares pode ser movido para outra conta sem qualquer aviso não é sério
  • Gostaria que alguém explicasse o que a Bybit realmente é
    • Pesquisei quando o hack foi anunciado, mas fiquei confuso
    • A maior parte das informações diz que é "golpe"
  • Há quem diga "todas as outras cold wallets estão seguras, então fiquem tranquilos"
    • É difícil acreditar nisso
  • A exchange de criptomoedas WazirX sofreu um hack de cerca de 300 milhões de dólares
    • Não houve nenhuma ação contra o CEO após o hack de julho de 2024
    • Ele está em Dubai e recebeu aprovação da Suprema Corte de Singapura para fazer a média dos fundos e distribuí-los aos usuários
    • Não há ação contra a empresa/CEO, e ele está se preparando para iniciar outra empresa/exchange