Segundo o cripto Twitter, Park Jin, hacker norte-coreano treinado na Universidade de Tecnologia Kim Chaek, instituição de elite em Pyongyang conhecida por formar especialistas em tecnologia e guerra cibernética, é o grande responsável pelo hack da Bybit.
Na universidade, Jin supostamente aprendeu a dominar técnicas de hacking, engenharia reversa e desenvolvimento de malware, habilidades que mais tarde seriam aplicadas em operações de escala global. Após a graduação, ele integrou a Chosun Expo, empresa de fachada usada pelo Lazarus para recrutar talentos e mascarar atividades ilegais.
Park Jin é associado a alguns dos ataques mais ousados da última década. Em 2014, ele teria participado do hack à Sony Pictures, que resultou no vazamento de dados sensíveis e em ameaças a funcionários.
Dois anos depois, Jin teria ajudado a orquestrar o roubo de US$ 81 milhões do Banco Central de Bangladesh, explorando vulnerabilidades no sistema Swift. Seu nome também surge no episódio do WannaCry, ransomware que paralisou hospitais, empresas e governos em mais de 150 países em 2017. Inclusive, ele é procurado pelo FBI e por autoridades sul-coreanas, mas a Coreia do Norte nega sua existência, classificando-a como “invenção da propaganda ocidental”.
De acordo com os defensores da existência de Park Jin, diferentemente de hackers que buscam fama, ele trabalha como um soldado: metódico, disciplinado e sempre em grupo. Seus alvos não são escolhidos ao acaso — seguem a agenda norte-coreana de obter recursos para contornar sanções econômicas e financiar projetos militares.
Entendendo o caso da Bybit
A Bybit sofreu um ataque em 21 de fevereiro de 2025. Como resultado, perdeu 401.347 ETH, avaliados em US$ 1,4 bilhão, o maior hack do mercado de criptomoedas até agora.
O detetive on-chain ZachXBT se mobilizou para investigar o ataque, que aponta para o Lazarus Group, um dos maiores grupos de cibercriminosos ligados ao governo da Coreia do Norte.
Segundo análise do especialista, os hackers realizaram transações de teste antes do ataque, utilizaram carteiras conectadas a outros golpes do grupo e seguiram um padrão já visto em invasões anteriores.
Imagem: X/ZachXBT
Os criminosos usaram um método sofisticado para burlar a segurança da Bybit. Em vez de invadir diretamente os servidores ou roubar credenciais, eles criaram uma réplica do sistema de assinatura de transações da exchange.
Quando os funcionários da plataforma cripto aprovaram a movimentação dos fundos, sem perceber, deram aos hackers controle total sobre um dos cofres mais seguros da empresa.
A estratégia contou com três etapas principais:
- Criação de uma interface idêntica à da Bybit: os invasores apresentaram uma transação aparentemente legítima para os responsáveis pela assinatura dos saques.
- Alteração do código do contrato no momento da aprovação: assim que a transação foi autorizada, os hackers assumiram o controle da carteira fria da exchange.
- Distribuição dos fundos roubados: os valores foram divididos em 53 carteiras diferentes, dificultando o rastreamento e a recuperação do dinheiro.
A busca continua
O Lazarus Group é conhecido por ataques que movimentam milhões de dólares. Entre suas maiores invasões, podemos citar:
- Ronin Bridge (Axie Infinity) – US$ 625 milhões
- Harmony Bridge – US$ 100 milhões
- Stake.com – US$ 41 milhões
- Atomic Wallet – US$ 100 milhões
- WazirX – US$ 230 milhões
A Bybit e autoridades internacionais seguem rastreando os fundos roubados, mas o tempo corre contra os investigadores. Afinal, os hackers já começaram a movimentar os ETH, utilizando métodos sofisticados para dificultar a detecção e lavagem do dinheiro, distribuindo os valores em 53 endereços.
No entanto, apesar da magnitude do ataque, a Bybit evitou um colapso imediato. Seu CEO, Ben Zhou, garantiu um empréstimo emergencial, cobrindo 80% das perdas, enquanto assegurava aos usuários que seus recursos estavam intactos. Além disso, mesmo com saques ultrapassando US$ 1,5 bilhão, a plataforma manteve operações estáveis, comprovando publicamente suas reservas.
