Depois de Troia: FBI aponta grupo da Coreia do Norte como responsável pelo hack de US$ 1,4 bilhão da Bybit

Com uma população de 26 milhões de habitantes e uma economia limitada por embargos internacionais, a Coreia do Norte está longe de estar ao lado das grandes potências globais. No entanto, em um setor específico, o país se destaca como uma verdadeira superpotência, o cibercrime. O mais recente feito nesse campo parece ser o hack de US$ 1,4 bilhão da Bybit, a segunda maior corretora de criptomoedas do mundo.

O ataque, um dos maiores já registrados na história do mercado cripto, rapidamente colocou o Grupo Lazarus no centro das suspeitas. 

• SAIBA MAIS: Comprou criptomoedas em 2024? Baixe o Guia do Imposto de Renda 2025 e veja como declarar seus investimentos

Supostamente ligado ao regime norte-coreano, o grupo já acumulou um histórico de invasões digitais. Na quarta-feira (26), o FBI confirmou a suspeita e apontou o Lazarus, também identificado como TraderTraitor, como o responsável pelo roubo.

Os hackers utilizam um esquema sofisticado para desviar criptomoedas. Segundo o FBI, o grupo dissemina aplicativos de negociação de criptoativos modificados, que contêm malware para facilitar o roubo dos ativos digitais.

“Os agentes do TraderTraitor estão agindo rapidamente e já converteram parte dos ativos roubados em bitcoin (BTC) e outros ativos virtuais, dispersando-os por milhares de endereços em múltiplas blockchains”, declarou o FBI. “Espera-se que esses ativos sejam ainda mais lavados e, eventualmente, convertidos em moeda fiduciária”.

A ascensão do Grupo Lazarus

A primeira ação conhecida do Lazarus remonta a 2009, com a chamada “Operação Troia”, um Ataque Distribuído de Negação de Serviço (DDoS) contra o governo da Coreia do Sul, que procurava sobrecarregar os servidores do governo sul-coreanos.

Ao longo dos anos, o grupo expandiu seu escopo, passando da ciberespionagem para roubos bancários milionários e, mais recentemente, ataques direcionados ao setor de criptomoedas.

Em 2019, autoridades sul-coreanas atribuíram ao Lazarus o roubo de 342.000 unidades de ethereum (ETH) da exchange Upbit. Na época, o valor era de aproximadamente US$ 40 milhões; hoje, esses mesmos ativos valeriam cerca de US$ 770 milhões.

No início de 2024, um painel de especialistas da ONU identificou 58 ataques cibernéticos possivelmente ligados ao regime norte-coreano, entre 2017 e 2023, totalizando aproximadamente US$ 3 bilhões roubados — recursos que, segundo a investigação, podem ter sido utilizados para financiar o desenvolvimento de armas de destruição em massa.

• LEIA AQUI: No evento Onde Investir 2025, especialistas do mercado discutem sobre o cenário econômico e recomendam ações, FIIs, BDRs, Criptomoedas e Renda fixa para investir

O golpe bilionário nas criptomoedas

O ataque mais recente drenou 401.346 tokens ETH da Bybit, o que representava US$ 1,4 bilhão no momento do roubo. Mas o impacto foi além da corretora, a movimentação dos fundos roubados desencadeou uma queda no preço do ativo, reduzindo o montante para menos de US$ 1 bilhão em menos de uma semana.

O cofundador e CEO da Bybit, Ben Zhou, confirmou a investigação do FBI em uma postagem na rede social X e direcionou usuários para um site oferecendo US$ 140 milhões em recompensas para quem ajudar a rastrear e congelar as criptomoedas roubadas.

A Bybit afirmou que uma transferência rotineira de ethereum, uma das criptomoedas mais populares, de uma chamada carteira “fria” ou offline, foi “manipulada” por um invasor que transferiu os ativos para um endereço não identificado.

“Foi um ataque altamente sofisticado que teve como alvo carteiras frias por meio de um tipo de exploração chamada ‘blind signing’ (assinatura cega), na qual os invasores criam uma interface falsa que engana os usuários, pois é uma cópia quase idêntica da plataforma confiável”, explicou Manuel Villegas, analista do banco Julius Baer à Associated Press.

*Com informações do Money Times, Associated Press e The Block