Quase 28% das criptomoedas roubadas no ataque de US$ 1,4 bilhão à Bybit “desapareceram”

O CEO da Bybit pediu mais caçadores de recompensas para ajudar a rastrear criptomoedas roubadas, já que quase 28% dos US$ 1,4 bilhão saqueados pelo Grupo Lazarus da Coreia do Norte permanecem sem explicação.

Ao detalhar o resumo sobre os fundos hackeados em uma publicação no X em 21 de abril, o cofundador e CEO Ben Zhou disse que cerca de US$ 386 milhões em fundos hackeados “desapareceram” após serem direcionados por meio de mixers e pontes para diversas plataformas peer-to-peer e de balcão.

Para quem não sabe, os misturadores de criptomoedas são serviços que ocultam a origem de ativos digitais misturando fundos de vários usuários e redistribuindo-os para novos endereços.

Este processo quebra o vínculo on-chain entre remetente e destinatário, dificultando muito o rastreamento.

Os misturadores de criptomoedas foram criados principalmente como uma ferramenta para melhorar a privacidade, mas também são amplamente explorados para lavagem de dinheiro roubado.

De acordo com Zhou, os atacantes drenaram cerca de 500.000 ETH em fevereiro ao assumirem o controle de uma carteira fria.

Aproximadamente 68,6% dos fundos roubados permanecem rastreáveis, enquanto os esforços de recuperação até agora congelaram pouco menos de 4%, uma parcela relativamente pequena, totalizando cerca de US$ 54 milhões.

O ETH roubado foi principalmente transferido para Bitcoin via THORChain, com 432.748 ETH (cerca de US$ 1,21 bilhão) trocados.

Desse total, 342.975 ETH, avaliados em aproximadamente US$ 960 milhões, foram convertidos em 10.003 BTC e distribuídos por quase 36.000 carteiras.

Outros 5.991 ETH, ou aproximadamente US$ 17 milhões, permanecem na Ethereum, distribuídos por 12.000 carteiras.

Do lado do Bitcoin, Zhou revelou que 944 BTC (aproximadamente US$ 90 milhões) passaram pelo mixer Wasabi, com quantias menores entrando posteriormente em outros serviços, como CryptoMixer, Tornado Cash e Railgun.

Atores mal-intencionados também aproveitaram trocas entre cadeias usando plataformas como eXch, Lombard, LiFi, Stargate e SunSwap antes de finalmente liquidar por meio de saídas para moeda fiduciária.

Para rastrear esses movimentos, a Bybit lançou o programa Lazarus Bounty em fevereiro, oferecendo US$ 140 milhões em recompensas para quem puder ajudar no processo de recuperação.

Até agora, apenas 70 dos mais de 5.400 relatórios foram validados. A maior parte dos US$ 2,3 milhões em recompensas pagos foi para a plataforma de camada 2 Mantle, que ajudou a congelar US$ 42 milhões em criptomoedas roubadas.

“Precisamos de mais caçadores de recompensas que consigam decodificar os mixers”, disse Zhou, observando a crescente complexidade em rastrear esses fundos à medida que eles transitam por várias blockchains.

História do hack da ByBit

O ataque hacker à Bybit em fevereiro de 2025 tornou-se o maior incidente de segurança que a indústria de criptomoedas já testemunhou desde sua criação.

O grupo de hackers Lazarus, patrocinado pelo Estado norte-coreano, foi apontado como o principal suspeito por trás da violação.

Em 21 de fevereiro, os atacantes teriam explorado a carteira fria multisig Ethereum da ByBit durante uma transferência de rotina para a carteira quente da exchange, manipulando a interface de assinatura.

Embora o endereço da carteira correto tenha sido exibido no lado da ByBit, a lógica do contrato inteligente subjacente havia sido alterada para redirecionar os fundos para os hackers.

Um relatório separado divulgado em março pela empresa de cibersegurança Mandiant afirmou que a violação pode ter começado com um projeto falso de investimento em ações infectado com malware.

O malware teria sido baixado em um laptop Mac pertencente a um desenvolvedor da Safe{Wallet}, um provedor de infraestrutura terceirizado integrado ao Bybit.