A Bolsa de Cripto de Taiwan BitoPro Alvo de Hackers Norte-Coreanos

No dia 2 de junho de 2025, uma breve publicação do pesquisador de blockchain ZachXBT no Telegram causou alvoroço na indústria de Cripto Ativos: várias carteiras quentes na bolsa de Cripto Ativos taiwanesa BitoPro experienciaram saídas suspeitas de fundos, totalizando até 11,5 milhões USD.

Neste momento, passaram quase 3 semanas desde que o ataque real ocorreu, e a bolsa apenas suspendeu os serviços citando “manutenção do sistema”, sem mencionar uma palavra sobre o ataque do Hacker.

Cronologia de Eventos, de Ataque Secreto a Divulgação Pública

O ataque ocorreu entre 8 e 9 de maio de 2025. Naquele momento, o Hacker aproveitou o período de janela para atualizações do sistema de carteira e migrações de ativos na bolsa para lançar um ataque à sua antiga carteira quente.

Várias cadeias públicas foram afetadas: Tron, Ethereum, Solana e Polygon Os ativos da hot wallet na exchange foram gradualmente transferidos. Após o Hacker ter sucesso, eles agiram rapidamente, liquidando os fundos ao preço de mercado através de exchanges descentralizadas (DEX) e transferindo-os para o misturador Tornado Cash, ou através de Thorchain Depositar para o Bitcoin rede via cross-chain para a carteira Wasabi, tentando cortar o caminho de rastreamento dos fundos.

Apesar de os usuários relatarem problemas de retirada, a declaração oficial da BitoPro confirmando o ataque veio a público em 2 de junho, após ZachXBT expô-lo publicamente, afirmando que “os ativos dos usuários estão intactos e a plataforma possui reservas suficientes.”

O método de manuseio, que esteve oculto durante três semanas, suscitou fortes dúvidas na comunidade sobre sua transparência e capacidades de gestão de crises.

Análise das Técnicas de Ataque: Uma Intrusão Clássica de Engenharia Social

Em 19 de junho, a BitoPro divulgou um relatório de uma empresa de segurança terceira confirmando que o atacante era a notória organização Hacker norte-coreana Lazarus Group.

O caminho de ataque demonstra claramente o seu modus operandi altamente especializado:

• Ataque de phishing de engenharia social: Hackers disfarçam a comunicação para almejar funcionários da BitoPro, atraindo-os a clicar em links ou arquivos maliciosos.
• Infiltração de malware: O malware implantado com sucesso desviou dos sistemas antivírus da bolsa, da proteção de endpoints e da deteção de segurança na nuvem.
• Observação de Infiltração: Hackers ficam à espreita nos computadores dos funcionários da vítima durante um longo período, observando os processos operacionais, especialmente direcionando-se a pessoal de negócios na nuvem que controla a gestão de recursos da Amazon AWS.
• Desvio de tokens e contorno da MFA: roubo de tokens de sessão da AWS e contorno direto dos mecanismos de autenticação multifator (MFA).
• Controlar o host da hot wallet: Conectar ao servidor C2 do atacante, injetar instruções maliciosas no host responsável pelas transações da hot wallet e, por fim, simular transações legítimas para implementar a transferência às 1 da manhã do dia 9 de maio.

Este método é altamente consistente com os ataques passados de Lazarus ao sistema bancário global SWIFT e a várias exchanges, destacando a maturidade do seu modelo de ataque.

A Mão Oculta: A Sombra do Grupo Lazarus

O Grupo Lazarus não é um infrator pela primeira vez. A organização é amplamente considerada como um grupo de crime em rede apoiado pelo regime norte-coreano, que há muito visa roubar Cripto Ativos para financiar seus programas de armas.

O seu registo criminal é chocante:

• Em 2016, tentou roubar 1 bilhão de dólares do banco central de Bangladesh usando uma vulnerabilidade no sistema SWIFT (transferiu com sucesso 81 milhões de dólares)
• Em fevereiro de 2025, a troca ByBit foi atacada, resultando em um roubo recorde de 1,5 bilhões de dólares em Cripto Ativos.
• Continuamente a direcionar ataques à cadeia de suprimentos de troca de Cripto Ativos global, exploração de vulnerabilidades e fraudes complexas de engenharia social.

Os especialistas em segurança apontam que a organização se destaca em combinar vulnerabilidades técnicas com fraquezas humanas, e o incidente da BitoPro mais uma vez confirma isso.

A resposta da exchange, medidas para reparar o erro após as ovelhas estarem perdidas

Após o incidente ser exposto, a BitoPro tomou uma série de medidas de resposta a crises:

• Desligue imediatamente o sistema de carteira quente para cortar o caminho do ataque.
• Substitua todas as chaves de encriptação relevantes
• Isolar sistemas infectados e realizar reconstrução ambiental
• Confiar a uma empresa de segurança de blockchain de terceiros a tarefa de rastrear os fundos roubados

Para recuperar a confiança, a BitoPro submeteu proativamente um novo endereço de carteira quente à plataforma de análise de dados on-chain Arkham no dia 19 de maio, atualizando os dados de liquidez para supervisão pública.

O fundador da empresa, Zheng Guangtai, enfatizou que “os ativos dos clientes não serão perdidos; quaisquer perdas serão suportadas pela plataforma” e prometeu melhorar os processos de gestão de carteiras e os níveis de monitorização. A Comissão de Supervisão Financeira de Taiwan também interveio, exigindo que a empresa fortalecesse a cibersegurança e apresentasse uma explicação sobre o incidente.

Visão de Segurança: O Elo Mais Vulnerável Continua a Ser o “Humano”

O incidente BitoPro, embora o valor perdido seja muito inferior ao caso de roubo massivo de $1,5 bilhões da ByBit, revela vulnerabilidades na indústria que são universais:

• Os períodos de manutenção tornam-se janelas de alto risco: durante atualizações de sistema ou migrações de ativos, os mecanismos de controle de risco podem ter pontos cegos temporários.
• As defesas técnicas são difíceis de suportar a violação de engenharia social: mesmo os firewalls e mecanismos de MFA mais sofisticados podem ser completamente comprometidos por um funcionário que clica em um link malicioso.
• A crise de transparência agrava o colapso da confiança: a divulgação tardia e a comunicação vaga frequentemente prejudicam mais a confiança dos usuários do que os próprios eventos.

“O mais fraco link em qualquer sistema de segurança é sempre o fator humano,” uma conclusão que tem sido repetidamente validada em relatórios de segurança.

Conclusão: A Evolução da Defesa e a Batalha Ofensiva e Defensiva Sem Fim

O ataque do Grupo Lazarus é uma ameaça sistémica que o ecossistema global de Cripto Ativos continua a enfrentar. Desde o Banco Central de Bangladesh, ByBit até BitoPro, os seus métodos de ataque estão em constante evolução, mas o núcleo permanece inalterado: explorar as fraquezas humanas para ultrapassar barreiras técnicas.

A BitoPro teve uma perda de 11,5 milhões USD e atualizou seu sistema, mas o maior desafio é: como a exchange pode estabelecer uma cultura de controle interno que seja “anti-engenharia social” e alcançar uma resposta rápida e transparente quando confrontada com uma intrusão.

No mundo da blockchain, a confiança é a moeda subjacente, e cada incidente de hacking testa se as suas reservas verdadeiras são suficientes.