Atualização sobre o hack da Bybit: quase US$ 650 milhões em criptomoedas roubadas desapareceram.

Um grande roubo de criptomoedas, no valor de 1,4 bilhão de dólares, que ocorreu na corretora Bybit, está acendendo novos alarmes na indústria de ativos digitais.

De acordo com dados compilados pela corretora e por pesquisadores de segurança, cerca de 644 milhões de dólares em fundos roubados — quase metade do total — desapareceram do monitoramento rastreável da blockchain.

Esses fundos foram sistematicamente canalizados por meio de serviços de mistura de criptomoedas, que foram projetados para ocultar a origem e o destino das transações.

Este desenvolvimento lança nova luz sobre como os métodos de lavagem de dinheiro estão evoluindo, particularmente com o uso contínuo de serviços que foram anteriormente sancionados ou declarados como desativados.

A investigação também aponta para ligações com o grupo de hackers norte-coreano TraderTraitor, que explorou uma vulnerabilidade no laptop de um desenvolvedor no início de fevereiro.

A vulnerabilidade foi aproveitada por um malware que se fazia passar por um simulador de investimento em ações, o que levou à violação de credenciais confidenciais.

A lavagem de dinheiro é dominada pela Wasabi Wallet e pela eXch.

A investigação da Bybit revela que 247,5 milhões de dólares (cerca de 966 BTC) foram canalizados através da Wasabi Wallet, uma carteira de Bitcoin focada na privacidade que utiliza o CoinJoin para misturar transações.

Outros 94,1 milhões de dólares foram transferidos através da eXch, um serviço de mistura menos conhecido que havia anunciado publicamente seu encerramento em abril de 2025.

No entanto, especialistas forenses confirmaram que o eXch permanece ativo por meio de APIs de back-end, permitindo que a lavagem de dinheiro continue sem ser detectada pela maioria dos monitores padrão.

Serviços de mistura de criptomoedas, como Tornado Cash e Railgun, também foram usados, mas em menor extensão.

A TRM Labs confirmou que o Tornado Cash foi usado para lavar 2,5 milhões de dólares em Ethereum, enquanto o Railgun facilitou transações de 1,7 milhão de dólares em Ethereum.

Esses serviços funcionam reunindo os fundos de vários usuários e redistribuindo-os de uma forma que torna o rastreamento quase impossível.

Analistas da TRM Labs descreveram a atividade de lavagem de dinheiro como "extremamente difícil" de rastrear devido à forma como as transações são agrupadas e redistribuídas.

Atividade da eXch preocupa após anúncio de encerramento de atividades.

A eXch, em particular, tem atraído muita atenção devido à sua declaração de que fechará as portas em abril.

Pesquisadores de segurança em criptomoedas, incluindo analistas da TRM Labs, confirmaram que o backend do serviço ainda está funcionando.

A persistência da infraestrutura da eXch, mesmo após o anúncio público de seu fechamento, adicionou uma camada de complexidade às investigações em curso.

Um grande desafio para os investigadores é a opacidade total criada por esses misturadores. As transações tornam-se quase impossíveis de rastrear assim que entram nesses serviços.

A TRM Labs observou que, como todos os fundos de entrada e saída são misturados, não é possível identificar usuários ou endereços individuais por trás das transferências.

Isso limita a eficácia das ferramentas de transparência da blockchain, mesmo quando é aplicada a análise forense.

Grupo TraderTraitor, com ligações à Coreia do Norte, é apontado como culpado pela violação.

A situação é ainda mais complexa devido ao alegado envolvimento de atores patrocinados pelo Estado.

A Safe, fornecedora de interfaces para wallet para criptomoedas , publicou detalhes em março de 2025 indicando que o grupo de hackers norte-coreano TraderTraitor estava por trás da violação original.

Os hackers obtiveram acesso aos fundos da Bybit após invadir o MacBook de um desenvolvedor na Safe.

O ataque foi realizado por meio da incorporação de malware em um arquivo Docker disfarçado como um simulador de investimento em ações.

Uma vez executado, o malware se conectou a um domínio suspeito e instalou scripts maliciosos que extraíram tokens de sessão da AWS.

Esses tokens foram então usados para contornar a autenticação multifatorial e acessar os sistemas de back-end da Bybit.

A violação ocorreu no início de fevereiro e está entre os maiores roubos de criptomoedas de 2025.

Isso desencadeou um novo escrutínio por parte dos reguladores e acirrou debates sobre as vulnerabilidades na infraestrutura da Web3, especialmente nos endpoints de desenvolvedores e nas credenciais de acesso à nuvem.