Topics What's Happening

Incidente de segurança da Bybit: Linha do tempo dos eventos e Perguntas frequentes

Iniciante
What's Happening
Mar 3, 2025

Introdução

A Bybit sofreu um grande incidente de hacking em 21 de fevereiro de 2025, afetando uma das carteiras frias de Ethereum da Bybit e resultando em quase $1,5 bilhão em perdas. O exploit está ligado ao Lazarus Group, apoiado pelo estado norte-coreano.

Linha do Tempo dos Eventos

21 de fevereiro de 2025, 13:30 UTC — A Bybit realizou uma transferência rotineira de uma das nossas carteiras frias multisig de Ethereum para uma carteira quente, transferindo inicialmente uma quantia de 30.000 ETH.

21 de fevereiro de 2025, 14:13 UTC — Hackers exploraram a interface do usuário da carteira fria multisig Safe através de um ataque de phishing sofisticado, camuflando a transação específica, o que resultou na alteração da lógica do contrato inteligente da carteira fria de ETH. Isso permitiu que hackers transferissem os fundos da carteira fria comprometida, dividindo-os entre 39 endereços.

Quanto foi perdido no ataque?

Apenas uma única carteira fria da Bybit foi comprometida, resultando na perda de $1,46 bilhão da seguinte forma:

  • 401.347 ETH ($1,12 bilhão)

  • 90.375 stETH ($253,16 milhões)

  • 15.000 cmETH ($44,13 milhões)

  • 8.000 mETH ($23 milhões)

21 de fevereiro de 2025, 15:44 UTC — O cofundador e CEO da Bybit, Ben Zhou tweetou sobre a situação em evolução, informando a comunidade desde o início que os hackers "tomaram controle da carteira fria específica de ETH" e assegurando aos usuários que a Bybit é solvente e pode cobrir a perda, garantindo que os ativos dos clientes são respaldados 1:1.

21 de fevereiro de 2015, 16:07 UTC — Ben reiterou em sua postagem no X post que "A Bybit é solvente mesmo se essa perda de hack não for recuperada, e todos os ativos dos clientes estão respaldados 1 a 1, então podemos cobrir a perda."

21 de fevereiro de 2025, 17:15 UTC — Ben participou de uma transmissão ao vivo para explicar a situação de forma transparente aos usuários afetados.

Como o hack ocorreu?

Através de um ataque de phishing nos assinantes do Ethereum cold wallet multisig, a transação e a Safe UI foram falsificadas, permitindo ao hacker alterar a lógica do contrato inteligente da carteira multisig. Isso permitiu ao hacker ganhar controle sobre a carteira fria da Bybit e transferir os fundos. Nossa equipe ainda está investigando como o hacker conseguiu falsificar a carteira fria, e em breve divulgaremos um relatório completo de post-mortem.

Nenhum plano para comprar ETH

Ben declarou durante uma transmissão ao vivo que atualmente não há planos para comprar ETH. No entanto, ele enfatizou que a empresa está ativamente buscando assistência e aproveitando empréstimos ponte de parceiros, para navegar as restrições de liquidez durante este período crítico.

Outras carteiras frias estão seguras

Ben esclareceu que o Bitcoin continua sendo o principal ativo de reserva, e que as outras carteiras frias permanecem inalteradas.

Retiradas como de costume

Ben tranquilizou os usuários de que todos os produtos e serviços estão operando normalmente. As retiradas não foram interrompidas e continuam a ser processadas normalmente.

Serviços P2P normais

Shunyet Jan, Chefe de Derivativos e Institucional da Bybit, confirmou durante a transmissão ao vivo que os serviços P2P da plataforma estão funcionando normalmente.

21 de fevereiro de 2025, 19:09 UTC — ZachXBT submeteu provas definitivas ligando o ataque ao Lazarus Group, uma organização cibercriminosa norte-coreana, e reivindicou a recompensa da Arkham Intelligence. Sua análise incluiu transações de teste, carteiras conectadas, gráficos forenses e detalhes de cronograma. De acordo com ZachXBT, o conjunto de endereços também está ligado ao hack de Phemex e BingX.

21 de fevereiro de 2025, 20:09 UTC — Bitget depositou 40,000 ETH para a Bybit, exibindo o forte apoio demonstrado por parceiros e pares da indústria.

21 de fevereiro de 2025, 21:07 UTC — Bybit relatou o caso às autoridades competentes, e fornecerá atualizações assim que mais informações estiverem disponíveis. Colaborou ativamente com provedores de análises on-chain para identificar e desmistificar os endereços implicados.

22 de fevereiro de 2025, 00:54 UTC — Ben anunciou que 99,994% de mais de 350.000 solicitações de retirada foram processadas dentro de 10 horas após o hack, com a equipe da Bybit trabalhando incessantemente para garantir operações tranquilas e tranquilizar as preocupações dos clientes.

22 de fevereiro de 2025, 01:08 UTC — Safe confirmou que não houve comprometimento de sua base de código, nem dependências maliciosas, e nenhum outro endereço Safe foi afetado. Após o incidente, o Safe pausou temporariamente sua funcionalidade {Wallet} a fim de conduzir uma revisão completa do serviço.

22 de fevereiro de 2025, 01:21 UTC — Hacken declarou que o hack ao Bybit foi significativo e causou um grande impacto na indústria. No entanto, as reservas do Bybit ainda excedem suas obrigações, e os fundos dos usuários continuam totalmente assegurados.

22 de fevereiro de 2025, 02:51 UTC — Ben tweetou que todos os saques foram processados, e que a plataforma retomou operações normais, menos de 12 horas após o incidente de hacking de $1.4 bilhões, o maior da indústria até à data.

22 de fevereiro de 2025, 07:29 UTC — De acordo com os dados de monitoramento mais recentes de SoSoValue e equipe de segurança on-chain TenArmor, mais de $4 bilhões em fundos fluíram para a plataforma de negociação Bybit nas últimas 12 horas. A análise comparativa de entrada de fundos indica que este influxo de capital cobriu totalmente o déficit causado pelo hack de ontem.

22 de fevereiro de 2025, 08:52 UTC — Chainflip respondeu no X, afirmando que, embora tenham feito todos os esforços para ajudar, como um protocolo descentralizado, eles não conseguem bloquear, congelar ou redirecionar completamente quaisquer fundos.

22 de fevereiro de 20225, 11:00 UTC — Ben e Shunyet realizaram um AMA em chinês com ETHPanda, Wu Blockchain, a CEO da Bitget Gracy Chen e outros participantes, a fim de discutir o incidente de hack e compartilhar suas percepções sobre como gerenciá-lo.

22 de fevereiro de 2025, 13:15 UTC — O CEO da Tether, Paolo Ardoino anunciou que a Tether havia congelado US$ 181.000 em USDT ligados ao hack.

22 de fevereiro de 2025, 13:45 UTC — A Bybit processou aproximadamente $4 bilhões em retiradas após o aumento (pós-exploit). A Hacken confirmou que os fundos dos usuários da Bybit permanecem totalmente garantidos, com reservas ainda excedendo as obrigações.

22 de fevereiro de 2025, 15:32 UTC — A Bybit lançou um Programa de Recompensa de Recuperação, com uma recompensa de 10% dos fundos roubados. Para participar, contate a Bybit em bounty_program@bybit.com

22 de fevereiro de 2025, 16:01 UTC — Ben participou de um AMA ao vivo com o Crypto Town Hall, para discutir como ele estava lidando com a situação pós-ataque; o apoio da indústria que a Bybit recebeu de colegas, como a Bitget; e a maneira como a equipe da Bybit estava trabalhando incansavelmente para lidar com a crise. 

Ben também afirmou que reverter o Ethereum deve ser uma decisão da comunidade, em vez de uma escolha individual, possivelmente através de uma votação.

23 de fevereiro de 2025, 04:32 UTC —Ben enfatizou que a questão vai além da Bybit ou de qualquer entidade única, afirmando: "É sobre a abordagem da nossa indústria em relação aos hackers." Ele instou eXch a reconsiderar e ajudar a bloquear a saída dos fundos.

23 de fevereiro de 2025, 08:55 UTC — Bybit anunciou que todos os depósitos e retiradas voltaram aos níveis normais.

23 de fevereiro de 2025, 15:41 UTC — No total, $42,89 milhões de fundos explorados foram congelados, graças aos esforços coordenados de parceiros da indústria, incluindo Tether, THORchain, ChangeNOW, FixedFloat, Avalanche, CoinEx, Bitget e Circle. Além disso, o Protocolo mETH recuperou 15.000 tokens cmETH no valor de quase $43 milhões.

24 de fevereiro de 2025, 02:35 UTC — Dois dias após o hack, a Bybit recebeu $1,23 bilhão em ETH através de empréstimos ponte, depósitos de baleias e compras OTC, cobrindo efetivamente o déficit de ETH do exploit.

24 de fevereiro de 2025, 09:12 UTC — Hacken, uma empresa independente de segurança blockchain, lançou um relatório atualizado de prova de reservas (PoR). A Bybit fechou completamente a lacuna de ETH de ativos de clientes dentro de 72 horas, por meio de parcerias estratégicas com Galaxy Digital, FalconX, Wintermute e outros, junto com o suporte da Bitget, MEXC e DWF Labs. Ativos principais, como BTC, ETH, SOL, USDT e USDC, excedem 100% das taxas de colateral. Os usuários podem ler o relatório completo aqui.

25 de fevereiro de 2025, 14:40 UTC — Ben anunciou o lançamento do programa LazarusBounty — a primeira plataforma de recompensas da indústria que visa especificamente recuperar fundos supostamente roubados pelo Lazarus Group, apoiado pelo estado norte-coreano no ataque à Bybit.

26 de fevereiro de 2025, 15:17 UTC — Ben compartilhou os relatórios preliminares do hack. Esses relatórios, conduzidos pela Sygnia Labs e Verichains, ambos sugeriram que a causa raiz do hack foi devido a código JavaScript malicioso na plataforma da Safe{Wallet}, e nenhuma vulnerabilidade foi detectada na infraestrutura da Bybit. Para mais informações, faça o download dos relatórios aqui.

28 de fevereiro de 2025, 13:25 UTC — Ben anunciou a atualização V1.1 para a plataforma LazarusBounty, que adicionou o seguinte:

  • uma análise de endereços de hackers cross-chain

  • canal no Discord

  • saldo de carteira de endereço de hackers

  • ranking verificado de caçadores de recompensas

#LearnWithBybit