A indústria das criptomoedas ainda está em choque com o roubo de 1,5 mil milhões (ou €928.654.220 a 26.02.2025) de dólares da exchange Bybit, com sede no Dubai. O ataque, atribuído a hackers norte-coreanos, envolveu a transferência de mais de 400.000 unidades de Ethereum de uma carteira fria multisig para uma carteira quente da plataforma, antes de serem desviadas para contas sob controlo dos atacantes.

Especialistas da Elliptic identificaram padrões típicos dos cibercriminosos norte-coreanos, que usam este tipo de roubos para financiar o seu programa de armamento. O que torna este caso particularmente alarmante é que as carteiras frias multisig são consideradas das mais seguras para armazenar criptomoedas, exigindo múltiplas assinaturas para aprovar transacções.

Inicialmente, suspeitou-se de uma vulnerabilidade na infraestrutura da Safe, empresa responsável pelo sistema de carteiras. No entanto, investigações descartaram essa hipótese, concluindo que os atacantes manipularam a interface dos funcionários da Bybit, alterando a lógica do contrato inteligente para obter o controlo da carteira.

Isto demonstra que, apesar das proteções técnicas avançadas, o factor humano continua a ser o elo mais fraco na segurança das criptomoedas. Os hackers, utilizando malware sofisticado e técnicas de engenharia social, conseguiram infiltrar-se nos sistemas da Bybit e manipular as interfaces dos responsáveis pelas aprovações das transações. Ou seja: conseguiram alterar a interface de aprovação da transacção em cada computador de cada aprovador da Bybit o que significa que conseguiram (provavelmente através de Phishing) o controlo administrativo dos equipamentos.

Especialistas alertam que este ataque reforça a necessidade de melhores práticas de segurança, como a segmentação de redes, camadas múltiplas de defesa e preparação para cenários de ataques altamente sofisticados.

Recomendações CpC:

1. Reforço da Segurança de Acesso e Autenticação através da implementação obrigatória de dispositivos físicos (YubiKey, por exemplo) para autenticação, reduzindo o risco de ataques baseados em phishing.

2. Segmentação de Redes e Privilégios: As carteiras frias e os sistemas críticos devem estar em redes completamente isoladas da Internet. Por outro lado, a limitação estrita de acessos administrativos a um número mínimo de funcionários, utilizando controlos rigorosos de identidade.

3. Monitorização Avançada e Detecção de Anomalias pela manutenção de logs detalhados de acessos e assinaturas, com alertas automáticos para atividades suspeitas.

4. Reforço contra Engenharia Social pelo treino contínuo de Segurança com sessões regulares para formar funcionários sobre phishing e outras ameaças e – muito importante – testes internos de phishing e ataques de engenharia social para avaliar vulnerabilidades humanas.

5. Smart Contracts com Mecanismos de Segurança Adicionais com Time-Lock Transactions transferências acima de determinados montantes, permitindo auditoria manual antes da conclusão e ainda, múltiplos níveis de aprovação para obrigar aprovações secundárias, como verificações externas ou múltiplos dispositivos, para transações críticas.