A investigação sobre o suposto ataque à Bybit revelou que a corretora de criptomoedas não foi comprometida. O incidente ocorreu devido a um código malicioso inserido na infraestrutura da Safe(Wallet), impactando a carteira Ethereum Multisig Cold Wallet da Bybit. O ataque explorou uma vulnerabilidade do Safe e foi ativado durante uma transação em 21 de fevereiro de 2025.
O relatório técnico identificou que um arquivo JavaScript benigno do Safe foi substituído por código malicioso em 19 de fevereiro. A análise forense também sugere que credenciais da conta AWS S3 ou CloudFront do Safe.Global possam ter sido comprometidas. A investigação segue em andamento para confirmar as descobertas e avaliar a extensão do incidente.
Bybit ilesa: problema foi causado por comprometimento da Safe
A análise forense confirmou que a infraestrutura da Bybit permaneceu segura durante todo o incidente. O ataque foi causado pela alteração de um script JavaScript no site app.safe.global, tornando-se um vetor de exploração direcionado. Esse código foi modificado em 19 de fevereiro de 2025, com o objetivo de ser ativado na próxima movimentação da carteira afetada, o que ocorreu dois dias depois.
Os especialistas também apontaram que o histórico de cache do Wayback Archive ajudou a validar a existência do código malicioso. A integração do Google Search com a Wayback Machine, implementada em setembro de 2024, foi essencial para confirmar a autenticidade do arquivo comprometido.
Investigadores analisam possível vazamento na Safe
A investigação sugere fortemente que credenciais da API (Interface de Programação de Aplicativos) da Safe.Global vazaram ou foram comprometidas, permitindo que hackers alterassem o arquivo do JavaScript. Isso significa que os invasores podem ter tido acesso não autorizado aos serviços hospedados pela Safe.Global, tornando possível a manipulação de arquivos críticos sem que os administradores percebessem.
A Bybit, por sua vez, reforçou seu compromisso com a proteção dos fundos dos clientes. A corretora garantiu que não houve impacto em suas infraestruturas de segurança e que continua monitorando qualquer atividade suspeita. Equipes de segurança seguem colaborando para entender o alcance total do incidente e evitar novos ataques.
Conclusão: investigação continua
Apesar das descobertas iniciais, os investigadores ainda buscam confirmação definitiva sobre como ocorreu o comprometimento da infraestrutura da Safe. Especialistas recomendam que usuários e empresas revisem suas práticas de segurança digital para mitigar riscos semelhantes.
O caso ressalta a importância de auditorias constantes em sistemas de segurança cibernética e da adoção de mecanismos para detectar alterações indevidas em códigos críticos. A investigação segue em curso para identificar responsáveis e evitar futuros ataques no ecossistema cripto.