A Safe Wallet divulgou um comunicado oficial sobre o ataque cibernético sofrido pela Bybit, confirmando que a invasão foi conduzida pelo grupo Lazarus, conhecido por ataques sofisticados contra credenciais de desenvolvedores.
De acordo com a análise forense realizada por especialistas em segurança, os invasores comprometeram uma máquina de desenvolvimento da Safe Wallet, o que permitiu a criação de uma transação maliciosa disfarçada. No entanto, a investigação não encontrou vulnerabilidades nos contratos inteligentes da Safe ou no código-fonte de sua interface e serviços.
Diante do hack, a equipe da Safe Wallet realizou uma revisão completa da segurança, reconstruindo e reconfigurando toda a infraestrutura, além de redefinir credenciais para eliminar qualquer risco futuro. Com isso, a Safe Wallet foi restaurada na Ethereum mainnet por meio de um lançamento gradual.
A empresa reforçou que sua interface segue operacional e com medidas de segurança adicionais, mas alertou os usuários para que redobrem a atenção ao assinar transações.
Além disso, a Safe Wallet anunciou que irá liderar uma iniciativa para aumentar a verificabilidade de transferências em todo o setor, destacando seu compromisso com a segurança, transparência e autocustódia no mercado cripto. Um relatório detalhado sobre o ataque será publicado assim que a investigação for concluída.
Dúvidas sobre o pronunciamento
Após a divulgação do posicionamento da Safe Wallet, o ex-CEO da Binance, Changpeng Zhao (CZ), levantou algumas dúvidas sobre a fala da empresa.
Em resposta, o cofundador da Safe, Martin Köppelmann, explicou os principais pontos que vou colocar aqui de forma menos técnica:
CZ: O que significa “comprometer a máquina de um desenvolvedor da Safe Wallet”? Como os hackers conseguiram acessar essa máquina específica? Foi por meio de engenharia social, um vírus ou algo assim?
MK: O problema não estava no programa em si, mas no fato de que os hackers conseguiram entrar no sistema porque invadiram o computador de uma pessoa que trabalhava no desenvolvimento da Safe Wallet. Ainda não sabemos exatamente como eles fizeram isso — pode ter sido por um golpe (como um e-mail falso para enganar a pessoa) ou por um vírus que infectou o computador. O importante é que o ataque começou porque o computador de um dos desenvolvedores foi invadido.
CZ: Como o computador de um desenvolvedor tinha acesso a uma conta usada pela Bybit? O código foi enviado diretamente da máquina do desenvolvedor para o sistema em uso?
MK: A interface da Safe Wallet foi alterada de forma específica para atacar a Bybit. Quando a Bybit tentava fazer uma transação, a interface mostrava uma transferência normal, mas, na verdade, enviava uma transação diferente para a carteira (no caso, uma carteira física, como uma hardware wallet). Isso aconteceu porque os hackers conseguiram modificar o sistema a partir da máquina do desenvolvedor que foi invadida.
CZ: Como os hackers conseguiram enganar a etapa de verificação do Ledger (carteira física) quando várias pessoas precisavam aprovar a transação? Foi porque as pessoas aprovaram sem verificar direito (blind signing) ou porque não verificaram corretamente?
MK: Isso ainda não está claro. Precisaríamos especular para responder, e não temos informações suficientes no momento.
CZ: Então, o endereço de US$ 1,4 bilhão era o maior gerenciado pela Safe? Por que eles não atacaram outros?
MK: Estamos investigando isso — esse era certamente um dos maiores endereços gerenciados pela Safe. Acreditamos que é muito improvável que algo parecido tenha acontecido antes (provavelmente porque o hacker não queria revelar o ataque). Desde o acontecimento, focamos em monitorar todas as transações feitas pela Safe antes que a interface fosse desativada. Até agora, não encontramos nada suspeito, mas pedimos a ajuda de todos que puderem contribuir com essa investigação.
CZ: Que lições outros provedores de carteiras “self-custody” (onde o usuário tem controle total) e multi-assinatura (que exigem várias aprovações) podem aprender com isso?
MK:
- Vamos trabalhar para facilitar a verificação de transações da Safe em dispositivos físicos (como o Ledger). Infelizmente, hoje isso não é algo simples.
- Já estamos desenvolvendo o “Safenet” — um sistema que permite que um serviço profissional da Safe precise aprovar cada transação. A única forma de contornar isso seria com um longo tempo de espera, o que daria tempo suficiente para detectar e parar uma tentativa maliciosa.
- Diversidade de interfaces. Já existem várias interfaces disponíveis para usar a Safe. É importante que diferentes pessoas usem interfaces diferentes. Por exemplo, já temos um aplicativo web independente e versões hospedadas na rede IPFS (como o “Eternal Safe”), criadas pela comunidade.
Leia mais: Acabou! O mercado de criptomoedas está caindo por causa dos grandes players, aponta analista
