Como armazenar criptomoedas após o hack da Bybit

Em 21 de fevereiro, o mercado de criptomoedas enfrentou o maior ataque de sua história. Os invasores roubaram cerca de US$ 1,5 bilhão da Bybit, a segunda maior corretora de criptomoedas do mundo, com especialistas citando o evento como o maior roubo de qualquer coisa de todos os tempos. Embora nem essa perda nem a retirada de mais US$ 5 bilhões por investidores em pânico tenham sido fatais para a Bybit, o incidente ressalta as falhas fundamentais no ecossistema de criptomoedas moderno e oferece algumas lições valiosas para usuários regulares.

Como a Bybit foi roubada

Como todas as principais corretoras, a Bybit guarda as criptomoedas armazenadas com proteção em várias camadas. A maioria dos fundos fica armazenada em carteiras frias, desconectadas dos sistemas on-line. Quando os ativos atuais precisam ser recarregados, a quantia necessária é movida manualmente da carteira fria para a carteira quente, e a operação é assinada por vários funcionários ao mesmo tempo. Para isso, a Bybit usa uma solução de múltiplas assinaturas (multisig) da Safe{Wallet}, e cada funcionário envolvido na transação a assina com uma chave criptográfica hardware de livro contábil privada.

Os invasores estudaram o sistema em detalhes e, de acordo com pesquisadores independentes, comprometeram uma máquina de desenvolvedor da Safe{Wallet}. Presumivelmente, modificações maliciosas foram feitas no código para exibir páginas do aplicativo Web da Safe{Wallet}. Mas a bomba lógica dentro dela era acionada somente se a origem da transação correspondesse ao endereço do contrato da Bybit. Caso contrário, a Safe{Wallet} funcionava normalmente. Após conduzirem sua própria investigação, os proprietários da Safe{Wallet} rejeitaram as conclusões das duas empresas independentes de segurança da informação, insistindo que sua infraestrutura não havia sido hackeada.

Então, o que aconteceu? Durante uma recarga de rotina de US$ 7 milhões em uma carteira quente, os funcionários da Bybit puderam ver o valor específico e o endereço do destinatário da carteira quente na tela do computador. Contudo, foram outros os dados enviados para assinatura! Para transferências regulares, o endereço do destinatário pode (e deve!) ser verificado na tela do dispositivo do livro contábil. Mas ao assinar transações multisig, essa informação não é exibida, então os funcionários da Bybit basicamente fizeram uma transferência às cegas.

Como resultado, eles inadvertidamente deram sinal verde para um contrato inteligente malicioso que moveu todo o conteúdo de uma das carteiras frias da Bybit para centenas de carteiras falsas. Assim que a retirada da carteira Bybit foi concluída, parece que o código no site Safe{Wallet} voltou à versão inofensiva. Os invasores estão atualmente ocupados “dissolvendo” o Ethereum roubado, transferindo-o aos poucos na tentativa de lavá-lo.

Tudo indica que a Bybit, e seus clientes, foram vítimas de um ataque à cadeia de suprimentos.

O incidente na Bybit não é um caso isolado

O FBI acusou oficialmente um grupo norte-coreano com o codinome TraderTraitor como o autor do crime. Nos círculos de segurança da informação, esse grupo também é conhecido como Lazarus, APT38 ou BlueNoroff. Seu modo de operação envolve ataques persistentes, sofisticados e contínuos no setor de criptomoedas: invadir sistemas de desenvolvedores de carteiras, roubar corretoras, roubar usuários comuns e até mesmo criar jogos play-to-earn falsos.

Antes do ataque da Bybit, o recorde do grupo era o roubo de US$ 540 milhões do blockchain da Ronin Networks, criado para o jogo Axie infinito. No ataque de 2022, hackers infectaram o computador de um dos desenvolvedores do jogo usando uma oferta de emprego falsa em um arquivo PDF infectado. Essa técnica de engenharia social permanece no arsenal do grupo até hoje.

Em maio de 2024, o grupo realizou um golpe-relâmpago de mais de US$ 300 milhões na corretora de criptomoedas japonesa DMM Bitcoin, que acabou falindo. Antes disso, em 2020, mais de US$ 275 milhões foram desviados da corretora de criptomoedas KuCoin, com um “vazamento de chave privada” para uma carteira quente citado como o motivo.

O Lazarus vem aprimorando suas táticas de roubo de criptomoedas há mais de uma década. Em 2018, escrevemos sobre uma série de ataques a bancos e bolsas de criptomoedas usando um aplicativo de negociação de criptomoedas com Cavalo de Troia como parte da Operação AppleJeus. Especialistas da Elliptic estimam que os ganhos totais com crimes cometidos por atores ligados à Coreia do Norte chegam a cerca de US$ 6 bilhões.

O que os investidores de criptomoedas devem fazer

No caso da Bybit, os clientes tiveram sorte: a corretora atendeu prontamente à onda de solicitações de retirada que se seguiu e prometeu compensar as perdas com seus próprios fundos. A Bybit continua no mercado, então os clientes não precisam tomar nenhuma atitude específica.

No entanto, a invasão reforça a dificuldade de proteger fundos que circulam por sistemas de blockchain e a limitação de ações para cancelar uma transação ou reembolsar valores. Dada a escala sem precedentes do ataque, muitos solicitaram a reversão da blockchain Ethereum para o estado anterior, mas os desenvolvedores da Ethereum consideram isso “tecnicamente inviável”. Enquanto isso, a Bybit anunciou um programa de recompensa para corretoras de criptomoedas e pesquisadores de segurança, oferecendo 10% de qualquer quantia recuperada. Até agora apenas US$ 43 milhões foram recuperados.

Isso levou alguns especialistas do setor de criptomoedas a especularem que a principal consequência do ataque será um aumento na autocustódia de ativos digitais.

UM Autocustódia transfere a responsabilidade pelo armazenamento seguro dos especialistas para o usuário. Portanto, só siga esse caminho se tiver total confiança em suas habilidades para dominar todas as medidas de segurança e segui-las rigorosamente dia após dia. Vale lembrar que usuários comuns, que não têm milhões sem suas carteiras de criptomoedas dificilmente enfrentarão um ataque direcionado, enquanto ataques em massa genéricos são mais facilmente evitáveis.

Então, o que é necessário para uma autocustódia segura de criptomoedas?

• Compre uma carteira hardware com tela. Essa é a maneira mais eficaz de proteger ativos criptográficos. Faça uma pequena pesquisa primeiro e certifique-se de comprar uma carteira de um fornecedor confiável e diretamente: nunca de segunda mão ou de um marketplace. Caso contrário, você poderá receber carteira pré-hackeada que consumirá todos os seus fundos. Ao usar uma carteira para assinar transferências, sempre verifique o endereço do destinatário tanto na tela do computador quanto na tela da carteira para descartar sua substituição por um contrato inteligente malicioso ou um Trojan clipper que substitui endereços de carteiras de criptomoedas na área de transferência.
• Nunca armazene frases sementes de carteira em formato eletrônico. Nunca use arquivos do computador ou fotos da galeria para esse fim, pois cavalos de Troia modernos aprenderam a se infiltrar no Google Play e na App Store e reconhecer dados em fotos armazenadas no smartphone. Somente registros em papel (ou gravuras em metal, se preferir) mantidos em um cofre ou em outro local fisicamente seguro, protegidos contra acesso não autorizado e desastres naturais, servirão. É possível considerar vários locais de armazenamento, bem como dividir sua frase semente em partes.
• Não coloque todos os seus ativos na mesma carteira. Para detentores de grandes quantias ou diferentes tipos de criptoativos, faz sentido usar várias carteiras. Pequenas quantias para necessidades transacionais podem ser armazenadas em uma corretora de criptomoedas, enquanto a maior parte pode ser dividida entre diversas carteiras de criptomoedas em hardware.
• Use um computador dedicado. Se possível, dedique um computador para transações de criptomoedas. Restrinja fisicamente o acesso a ele (por exemplo, coloque-o em um cofre, armário ou sala trancada), use criptografia de disco e login por senha; tenha uma conta separada com senhas próprias (ou seja, diferentes daquelas no seu computador principal). Instale uma proteção confiável e habilite as configurações de segurança máxima no seu “criptocomputador”. Conecte-o à Internet apenas para realizar transações e use-o somente para operações com carteiras. Você deve jogar, ler notícias sobre criptomoedas e conversar com amigos em outro dispositivo.
• Se usar um computador dedicado for inviável, mantenha uma higiene digital rigorosa no seu computador principal. Para operações de criptomoedas, crie uma conta separada sem privilégios (não administradora). Crie também outra conta, também não administradora, para trabalho, bate-papo e jogos. Não é necessário trabalhar no modo administrador, a não ser para atualizar o software do sistema ou fazer alterações significativas na configuração do computador. Entre na sua “conta cripto” dedicada apenas para operações com carteiras e saia assim que terminar. Não dê acesso ao computador a terceiros e não compartilhe senhas de administrador com ninguém.
• Tenha cuidado ao escolher um software de carteira de criptomoedas. Analise cuidadosamente a descrição do software, verifique se o aplicativo está disponível no mercado há algum tempo, assegure-se de baixá-lo do site oficial e confirme se a assinatura digital da distribuição corresponde ao site e ao nome do fornecedor. Realize uma verificação completa do seu computador com uma solução de segurança atualizada antes de instalar e executar o software da carteira de criptomoedas.
• Tenha cuidado com as atualizações. Embora seja geralmente recomendado atualizar todos os softwares imediatamente, no caso de aplicativos de criptomoeda, é válido ajustar um pouco essa abordagem. Após o lançamento de uma nova versão, espere cerca de uma semana e leia as avaliações antes de instalá-la. Isso dará tempo à comunidade para detectar quaisquer bugs ou cavalos de Troia que possam ter se infiltrado na atualização.
• Siga as medidas de segurança avançadas para o computador descritas na postagem Como proteger investimentos em criptomoedas: quatro etapas fundamentais para a segurançaque incluem instalar uma solução de segurança robusta, como o Kaspersky Premium, no seu computador e smartphone; manter o sistema operacional e os navegadores sempre atualizados; e utilizar senhas fortes e exclusivas.
• Esteja preparado para o phishing. A fraude com criptomoedas pode ser multifacetada e sofisticada, portanto, qualquer mensagem inesperada por e-mail, aplicativo de mensagens e similares deve ser vista como o início de um golpe. Fique por dentro de todos os golpes de criptomoedas mais recentes seguindo nosso blog, bem como outras fontes confiáveis ​​de segurança cibernética.

Leia mais sobre golpes com criptomoedas e maneiras de se proteger nas postagens: