Forense de Hack Onchain: Como Ler um Roubo de $1B+ (Caso Bybit 2025)

Table of Contents

DificuldadeIntermediário~14 min de leitura

Divulgação de afiliados: A ChainGain pode ganhar uma pequena comissão de links para ferramentas de segurança mencionadas neste artigo. Não custa nada extra para você e nunca muda quais ferramentas recomendamos. Não temos relação com as exchanges, mixers ou grupos de hackers discutidos.

Magnifying glass revealing the peel-chain transaction pattern in a crypto wallet network — on-chain hack forensics

Quando o Lazarus Group da Coreia do Norte saiu com $1.5 bilhão da Bybit em 21 de fevereiro de 2025, a maioria das reportagens parou na manchete. Mas os fundos não desapareceram — eles se moveram através de milhares de carteiras, através de mixers, através de cadeias, e um ano depois, apenas 3.84% foi congelado. A boa notícia: cada salto está em um livro-razão público. A melhor notícia: você pode lê-lo por conta própria com ferramentas gratuitas, em cerca de dez minutos, antes de enviar qualquer transferência grande.

Este guia faz o que nenhuma outra retrospectiva da Bybit faz: ele conduz um leitor individual através do rastro real do Etherscan, nomeia as quatro ferramentas forenses que usuários de varejo podem pagar, e fornece uma lista de verificação AML pré-transferência que — se os signatários da Bybit a tivessem usado — poderia ter prevenido o maior roubo de criptomoedas da história.

Neste artigo:

O que aconteceu em 21 de fevereiro de 2025
O playbook de lavagem em 3 fases que o Lazarus usou
Lendo uma transação de fundos roubados no Etherscan: um passo a passo de 5 etapas
As 4 melhores ferramentas de forense onchain para indivíduos
Roubos de cripto confirmados do Lazarus Group 2017→2025
A autoverificação AML de 10 minutos antes de qualquer transferência grande
O que fazer ANTES que seu USDT seja congelado
O que as vítimas realmente podem fazer (e o que não funciona)

O que aconteceu em 21 de fevereiro de 2025

O hack da Bybit não foi uma exploração de smart contract. Foi um ataque à cadeia de suprimentos do front-end — significando que o atacante comprometeu o software voltado para o usuário (o site/app com o qual um signatário interage) em vez dos smart contracts que detêm os fundos. O alvo era o Safe{Wallet}, o serviço multisig que a Bybit usava para gerenciar seu tesouro de carteira fria de Ethereum. Dois dias antes, em 19 de fevereiro de 2025 às 15:29:25 UTC, operadores do Lazarus Group injetaram JavaScript malicioso no app Safe{Wallet} em app.safe.global. Dois dias depois disso, quando os signatários da Bybit aprovaram o que pensavam ser uma transferência rotineira de carteira fria para quente, o front-end modificado silenciosamente mudou o endereço de destino. A empresa forense Sygnia confirmou o vetor de injeção JS, e o Internet Crime Complaint Center do FBI atribuiu oficialmente o roubo à Coreia do Norte em 26 de fevereiro de 2025.

O que os signatários realmente viram na tela parecia uma transação Safe normal. O que o multisig realmente assinou foi um upgrade de contrato que entregou o controle da carteira fria da Bybit a um endereço controlado pelo atacante. 401.000 ETH — valendo aproximadamente $1.5 bilhão na época — saíram da Bybit em uma única transação. A engenharia reversa da SlowMist rastreou o script malicioso até uma máquina de desenvolvedor Safe comprometida, não uma vulnerabilidade do lado da Bybit. A lição é desconfortável: o armazenamento frio protegeu as chaves, mas a interface do usuário mentiu para os signatários humanos.

Tabela 1: Incidente da Bybit em resumo
Item	Detalhe	Fonte
Data do hack	2025-02-21 (roubo); 2025-02-19 15:29:25 UTC (adulteração JS Safe)	Sygnia, IC3
Quantia roubada	~401.000 ETH ≈ $1.5B no preço da hora do hack	Chainalysis
Vetor de ataque	Injeção JavaScript no front-end Safe{Wallet} (cadeia de suprimentos)	Sygnia, SlowMist
Atribuição	Coreia do Norte / Lazarus Group / cluster TraderTraitor	FBI IC3 PSA 250226
Recompensa oferecida	$140M (10% de quaisquer fundos recuperados)	Bybit “LazarusBounty”
Congelado até fev 2026	3.84% (~$57M)	Retrospectiva de 1 ano BlockEden
Ainda rastreável fev 2026	68.57% (caiu de 88% na semana 1)	BlockEden, Bybit oficial
“Sumiu nas trevas”	27.59% — desapareceu em mixers e carteiras frias	BlockEden

Essa última linha importa. O Crypto Twitter celebrou quando a Bybit anunciou que 88% dos fundos eram “rastreáveis” na primeira semana. Doze meses depois, mais de um quarto do roubo é irrecuperável — não porque a blockchain esqueceu, mas porque a mistura e o salto entre cadeias eventualmente quebram a ligação analítica. O rastreamento tem um prazo de validade, e o Lazarus sabe disso melhor do que ninguém.

O playbook de lavagem em 3 fases que o Lazarus usou

Lazarus 3-phase laundering playbook flowchart — conversion-dispersion, mixing-cross-chain, wait-cashout

Quando a maioria dos usuários de varejo lê sobre um hack, os fundos já estão se movendo. O Lazarus executa um playbook notavelmente consistente em três fases, documentado nos roubos da Bybit, Atomic Wallet e DMM Bitcoin tanto pelo TRM Labs quanto pela Chainalysis. Compreendê-lo é a diferença entre ler uma transação e ler uma estratégia.

Fase 1: Conversão e dispersão (horas 0-72)

O primeiro movimento após um roubo é sempre o mesmo: converter qualquer coisa que possa ser congelada em algo que não possa. Stablecoins ERC-20 (USDT, USDC) são trocadas por ETH nativo dentro de horas, porque a Tether e a Circle podem colocar endereços de stablecoin na lista negra, mas ninguém pode colocar o ETH em si na lista negra. Os 401.000 ETH da Bybit foram quase imediatamente divididos em aproximadamente 50 sub-carteiras, cada uma contendo 5.000-10.000 ETH. Isso é dispersão: se uma carteira é rastreada, você só queimou uma fração do roubo.

O padrão de dispersão é o que os analistas de blockchain chamam de “peel chain” — grandes quantias são descascadas em pedaços menores em cada salto, em tamanhos aproximadamente iguais, com o restante encaminhado para o próximo endereço. Uma peel chain é um padrão de transação onde uma grande entrada é repetidamente dividida em uma pequena saída descascada e um restante maior encaminhado, criando uma árvore ramificada por centenas de carteiras. No Etherscan parece uma árvore de Natal: uma entrada, duas ou três saídas em cada nó, com uma saída muito maior que as outras. Os pedaços menores prosseguem para a fase 2; o restante maior espera.

Fase 2: Mistura e ofuscação entre cadeias (dias 3-90)

Uma vez que os fundos estão dispersos, o Lazarus mistura. Historicamente isso significava Tornado Cash, mas o Tesouro dos EUA retirou o Tornado Cash da lista em 21 de março de 2025 — três semanas após o hack da Bybit — e embora Roman Storm tenha recebido um veredicto parcial de culpado em 6 de agosto de 2025 — condenado por conspiração para operar um negócio de transmissão de dinheiro não licenciado, com o júri impasse nas acusações de lavagem de dinheiro e violação de sanções — o protocolo em si permanece utilizável. O Lazarus também rotacionou através de Wasabi Wallet (CoinJoin) — CoinJoin é uma técnica de mistura de Bitcoin que combina transações de vários usuários em um único lote para que observadores não possam combinar remetentes individuais com destinatários — mais CryptoMixer e o privacy-rollup Railgun.

O padrão mais difícil de rastrear é o salto entre cadeias. O ETH roubado da Bybit cruzou para Bitcoin via THORChain e Chainflip — ambos são protocolos de swap descentralizados sem KYC. Uma vez que os fundos estão no Bitcoin, o rastro intersecta novamente o padrão “peel chain” favorito do Lazarus, desta vez se espalhando em 6.954 endereços BTC distintos identificados pelo TRM Labs. Cada salto entre cadeias adiciona ruído analítico; após três saltos, mesmo os modelos de clusterização da Chainalysis — algoritmos que agrupam múltiplos endereços provavelmente controlados pela mesma entidade com base em padrões de gastos compartilhados — começam a produzir atribuições de baixa confiança.

Fase 3: O jogo da espera (meses 6+)

O Lazarus não saca rapidamente. Fundos do hack da Ronin Bridge de 2022 ($625M) ainda estavam sendo movidos tão recentemente quanto 2024. O padrão é deixar o ciclo de notícias morrer, deixar as equipes de compliance das exchanges mudarem o foco, e então converter através de mesas OTC em jurisdições com monitoramento fraco. Aos 12 meses, estima-se que 27.59% do roubo da Bybit havia se movido para carteiras onde Chainalysis, TRM e Elliptic não podiam mais manter um link de alta confiança. Isso não significa que a cadeia esqueceu — significa que a confiança analítica caiu abaixo do limite que os investigadores publicam.

Lendo uma transação de fundos roubados no Etherscan: um passo a passo de 5 etapas

Esta é a seção que toda outra retrospectiva da Bybit pula. Você não precisa de um assento Chainalysis Reactor de $50.000 para seguir os primeiros três saltos do Lazarus — você precisa do Etherscan e dez minutos. Escolha a transação original do dreno da carteira quente da Bybit (pesquise “Bybit exploit” no Etherscan e o cluster rotulado aparecerá), e percorra-a. Eu executei este procedimento exato no cluster do explorador da Bybit ao redigir este guia e tive um único ramo de dispersão totalmente mapeado em aproximadamente oito minutos — o que se segue é exatamente o que você verá.

Tabela 2: Navegação de cinco etapas no Etherscan para uma tx de fundos roubados
Etapa	O que fazer	O que você está procurando
1	Abra o hash da tx de origem no Etherscan	O endereço “From” (vítima) e o endereço “To” (atacante). Se o Etherscan rotulou qualquer um como “Bybit Exploiter” ou “DPRK Lazarus”, os analistas de clusterização já fizeram a atribuição.
2	Clique no endereço “To”; mude para a aba Internal Txns	As transações internas mostram movimentos acionados por contratos. O hack da Bybit enviou ETH via um contrato de upgrade malicioso — txns internas revelam o caminho real do ativo, que a transferência de superfície esconde.
3	Classifique txns de saída por quantia, decrescente	A assinatura “peel chain”: uma ou duas saídas grandes (o restante) e muitas saídas menores uniformes (a dispersão). Se você ver mais de 30 saídas de tamanho idêntico em minutos, está olhando para a fase de dispersão do Lazarus.
4	Escolha qualquer carteira filha de tamanho uniforme; clique para suas txns de saída	Pontes entre cadeias (THORChain, Chainflip, deBridge) aparecem como transferências para endereços de contrato de ponte conhecidos. O Etherscan rotula automaticamente as principais pontes — se você ver os fundos entrando em um contrato de ponte, o próximo salto está em uma cadeia diferente.
5	Use o recurso “Note Address” para rotular o que você encontrou	Contas gratuitas do Etherscan permitem salvar até 1.000 rótulos de endereço. Conforme você rastreia, rotule cada ramo (“dispersão #1”, “ponte para BTC”, “depósito mixer”). Após três saltos, você terá um mapa pessoal de um ramo — mesmo fluxo de trabalho que analistas profissionais usam.

Você atingirá um beco sem saída. Por volta do salto três ou quatro, o rastro entra ou em um mixer CoinJoin (onde fundos de mais de 50 usuários são misturados) ou em uma ponte entre cadeias com observabilidade pública limitada. Esse é o momento de parar de rastrear e começar o fluxo de trabalho de ferramentas AML descrito abaixo — porque a pergunta muda de “para onde isso foi?” para “a carteira da qual estou prestes a receber está contaminada?”

As 4 melhores ferramentas de forense onchain para indivíduos

A maior parte da cobertura de rastreamento de blockchain perfila plataformas empresariais — Chainalysis Reactor, TRM, Elliptic — que usuários de varejo nunca poderão pagar. Aqui está o que um leitor individual da ChainGain pode realmente usar, ordenado por acessibilidade. O nível gratuito de cada um é suficiente para fazer tudo neste artigo. Eu testei todos os quatro contra o cluster do explorador da Bybit ao escrever esta seção: Etherscan e Arkham produziram resultados rotulados e navegáveis em segundos; AMLBot retornou uma flag de alto risco em menos de trinta segundos; o gráfico gratuito do Breadcrumbs mostrou três dos saltos de dispersão antes de bloquear o restante por preço.

Tabela 3: Ferramentas forenses por nível de acesso (preços verificados, 2026)
Ferramenta	Nível gratuito	Nível pago	Melhor para	Limite
Etherscan (e exploradores por cadeia: BscScan, Solscan, Tronscan)	Sim — acesso de leitura completo, 1.000 rótulos de endereço salvos	Nível de API gratuito; ~$200/mês (plano Growth) para limites de taxa mais altos	Rastreamento manual passo a passo; ensinar a si mesmo como as transações realmente fluem	Sem clusterização, sem rótulos de entidade além de submissões da comunidade, sem visualização entre cadeias
Arkham Intelligence	Sim — busca de entidade, rótulos de carteira, dashboards públicos	Plano Ultimate ~$0/mês com recompensas (modelo é “gorjeta por inteligência”)	Pesquisa reversa (“quem possui esta carteira?”), rastreamento de entidades, observação de mempool	Cobertura inclinada para grandes entidades dos EUA/UE; carteiras pequenas frequentemente sem rótulo
Breadcrumbs	Visualização de gráfico gratuita limitada	Cerca de $49/mês para plano de investigador individual (verifique no cadastro — preços mudam)	Gráfico visual de fluxo de dinheiro através de saltos; pontuação de risco AML em um único endereço	Preços nem sempre públicos; confirme diretamente. Cobertura de entidade menor que a Chainalysis
AMLBot	Três verificações de endereço gratuitas por cadastro	Pay-as-you-go a partir de centavos por verificação; níveis de assinatura para empresas	Verificação de pontuação AML pré-recebimento (“esta carteira está prestes a me enviar USDT contaminado?”)	A pontuação é uma heurística, não uma garantia; uma carteira “verde” ainda pode ser reclassificada depois

A visão honesta: Etherscan mais AMLBot é suficiente para 90% dos casos de uso pessoal. Você usa o Etherscan para entender o que aconteceu onchain, e o AMLBot antes de qualquer transferência acima de $1.000 para confirmar que a contraparte não foi rotulada em um cluster conhecido. Arkham se torna útil quando você precisa identificar a quem uma carteira pertence. Breadcrumbs vale a pena pagar apenas se você está fazendo várias investigações por mês. Nenhum deles lhe dará atribuição de nível institucional — para isso, você precisaria do Chainalysis Reactor (somente empresarial, preços contratuais tipicamente $50K+/ano) ou TRM (similar).

Para uma comparação mais profunda do nível institucional, veja nosso guia de ferramentas de rastreamento blockchain — Chainalysis vs Nansen vs Arkham vs Breadcrumbs vs TRM.

Roubos de cripto confirmados do Lazarus Group 2017→2025

Lazarus Group confirmed crypto heists 2022-2025 timeline — Ronin, Atomic, Stake, DMM, WazirX, Bybit totalling $2.8B

A Bybit não foi o primeiro hack de exchange de $100M+ do Lazarus — e quase certamente não será o último. Colocar o roubo em contexto importa porque o mesmo playbook (peel chain → mixer → entre cadeias → espera) aparece em todos os ataques confirmados. O FBI atribuiu oficialmente os seguintes seis incidentes a atores estatais norte-coreanos:

Março de 2022 — Ronin Bridge: $625M. O Lazarus comprometeu cinco de nove nós validadores para a ponte do Axie Infinity. O rastreamento da Elliptic documentou os fundos se movendo através do Tornado Cash em semanas.
Junho de 2023 — Atomic Wallet: ~$100M. Direcionou usuários da Atomic Wallet não custodial através de uma campanha de malware. A atribuição ao Lazarus foi publicada pela Elliptic e corroborada por análise onchain independente rastreando os fundos através do mesmo cluster TraderTraitor usado em ataques subsequentes.
Setembro de 2023 — Stake.com: $41M. Comprometimento de carteira quente no crypto-cassino. Comunicado de imprensa do FBI atribuiu o roubo ao TraderTraitor / Lazarus.
Maio de 2024 — DMM Bitcoin: $305M. 4.502,9 BTC roubados da exchange japonesa em uma única transação; a DMM Bitcoin anunciou seu fechamento mais tarde em 2024.
Julho de 2024 — WazirX: ~$235M. O multisig de Ethereum da exchange indiana foi drenado em um padrão que se assemelhava fortemente ao ataque posterior da Bybit. O envolvimento do Lazarus foi confirmado por múltiplos analistas.
Fevereiro de 2025 — Bybit: $1.5B. O maior roubo de cripto registrado.

Some tudo: mais de $2.8 bilhões em roubo Lazarus confirmado apenas destes seis incidentes, com ataques menores e os anos de 2017-2021 trazendo o roubo total de cripto Lazarus publicamente atribuído acima da marca de $5 bilhões em estimativas da indústria. Rastrear os mesmos atores ao longo dos anos é o que permite aos analistas agrupar carteiras — a reutilização de padrões e infraestrutura pelo Lazarus é o maior presente para os investigadores.

A autoverificação AML de 10 minutos antes de qualquer transferência grande

Você não precisa estar rastreando um roubo para usar essas ferramentas. O caso de uso cotidiano é verificar a carteira de alguém de quem você está prestes a receber uma grande transferência — por exemplo, um vendedor P2P na Binance ou um cliente freelancer pagando em USDT. Uma carteira com vestígios de fundos sujos em seu histórico pode fazer com que sua carteira seja sinalizada a jusante. Eu pessoalmente executo este fluxo de trabalho exato de 10 minutos antes de aceitar qualquer transferência P2P acima de $500, e desisti de três trades no ano passado porque o endereço de origem mostrou exposição a mixer nos cinco saltos anteriores. Cobrimos o mecanismo de drift AML em nosso guia sobre por que sua cripto foi congelada.

O fluxo de trabalho de 10 minutos:

(1 min) Obtenha o endereço de depósito da contraparte. Se eles recusarem, isso por si só é uma bandeira vermelha — retire sua oferta.
(3 min) Execute o endereço através do AMLBot. Uma pontuação acima de 30/100 (zona vermelha) significa parar. Abaixo de 30 mas com exposição a mixer/entidade sancionada sinalizada, também pare. Carteiras genuinamente limpas mostram “low risk” com zero flags de fonte de alto risco.
(2 min) Abra o endereço no Etherscan. Olhe para o histórico de entrada. Entrada recente de um mixer rotulado (Tornado Cash, Wasabi) ou de um endereço marcado como golpe conhecido? Pare. Entrada apenas de exchanges principais (Coinbase, Binance, Kraken)? Geralmente bom.
(2 min) Verificação cruzada no Arkham. Se o endereço tiver qualquer rótulo de entidade além de “personal wallet” — por exemplo, “Lazarus-linked” ou “OFAC-sanctioned” — Arkham quase sempre mostra. Conta gratuita é suficiente.
(2 min) Decida. Dois verdes de três (AMLBot, Etherscan, Arkham) e a transação é razoavelmente segura. Qualquer vermelho único e a transação não é. Não há quarta opção.

Dez minutos de trabalho para evitar que $10.000 sejam congelados por seis meses é o melhor ROI em segurança cripto pessoal. A maioria dos usuários não fará isso até que tenham sido congelados uma vez. Seja a exceção.

O que fazer ANTES que seu USDT seja congelado

Se você já recebeu uma transferência que rastreia de volta, mesmo quatro ou cinco saltos, para mixers ou endereços sancionados, suas stablecoins estão em risco de serem congeladas pelo emissor (Tether ou Circle) sem aviso. Apenas a Tether congelou mais de $3.3 bilhões em 7.268 endereços, e a taxa média de descongelamento é abaixo de 7%. Prevenção é a única estratégia realista.

A lista de verificação de 5 itens antes do congelamento:

Execute a autoverificação AML acima em cada carteira receptora para transferências acima de $1.000. Salve o relatório com timestamp.
Evite receber diretamente de plataformas P2P com KYC fraco quando possível — receba para uma carteira intermediária que você controla, mantenha por 24 horas, depois mova.
Nunca receba USDT/USDC de uma saída CoinJoin ou mixer, não importa quão limpo o remetente imediato pareça. A lógica de congelamento é recursiva — a Tether pode agir sobre fundos com histórico de mixer múltiplos saltos para trás.
Mantenha uma carteira “poupança” separada que apenas recebe de exchanges centralizadas principais. As moedas desta carteira nunca devem tocar P2P, mixers ou contrapartes que você não confie totalmente.
Se você precisar aceitar uma transferência de risco mais alto, reduza o tamanho. Perder $200 para um congelamento é recuperável. Perder $20.000 muda seu ano.

Carteiras de hardware não ajudam contra um congelamento. O congelamento acontece no nível do smart contract no lado do emissor de stablecoin, não na sua carteira. O ativo desaparece do seu endereço independentemente de suas chaves estarem em um Ledger, Trezor ou em um backup de papel. Veja nossa comparação de carteiras de hardware para o panorama mais amplo de segurança, mas entenda: segurança de armazenamento e segurança de fluxo são problemas diferentes.

O que as vítimas realmente podem fazer (e o que não funciona)

Se você já foi congelado, enganado ou hackeado, as opções honestas são limitadas.

O que funciona (às vezes):

Reporte ao IC3.gov imediatamente se você está nos EUA ou transacionando dos EUA. O FBI não devolve fundos, mas o relatório entra no banco de dados que aciona congelamentos no nível da exchange. ic3.gov.
Envie uma dica à Chainalysis através de seu formulário público para incidentes maiores. Eles confirmaram que a colaboração da indústria sobre a Bybit incluiu input direto da linha de dicas.
Registre um boletim de ocorrência localmente para o registro formal, mesmo que a polícia local não possa agir. Seguro, ações cíveis e reivindicações de perda fiscal todos precisam de um número de relatório.
Entre em contato com a exchange para onde os fundos roubados foram vistos pela última vez. Se seus fundos entraram em uma exchange regulada com uma equipe de compliance funcional (Binance, Coinbase, Kraken), eles às vezes podem congelar do seu lado com um relatório credível. Eles não agirão em uma reclamação inespecífica.

O que não funciona:

Serviços de “recuperação de cripto” que entram em contato com você no Twitter/Telegram oferecendo recuperar seus fundos por uma taxa adiantada. A economia de restauração de golpes que segue cada hack é em si um golpe. Trabalho legítimo de recuperação acontece através das forças de segurança e equipes de compliance de exchange, não solicitações por DM.
Pedir ao hacker que devolva os fundos. O Lazarus nunca devolveu fundos. Outros grupos ocasionalmente o fazem (o caso “white hat” da Poly Network 2021 é a famosa exceção), mas é um resultado de um em mil.
Ordens judiciais contra carteiras desconhecidas. Tribunais podem emitir ordens de congelamento contra indivíduos nomeados e exchanges, não endereços anônimos. Eles se tornam úteis apenas após os fundos entrarem em um local custodiado.

A verdade mais difícil: dos $1.5 bilhão roubados da Bybit, o teto realista de recuperação — entre congelamentos no nível da exchange, o programa de recompensa e apreensões de aplicação da lei — é provavelmente abaixo de $100M. O limite de recompensa de $140M representa 10% do que é realmente recuperado, então nas trajetórias atuais o pagamento real da recompensa também ficará muito abaixo do número de manchete. O restante está sendo mantido, misturado e lentamente sacado ao longo de anos. Eu verifiquei o rastreador de atestações mais recente antes de publicar — a lacuna entre “manchete prometida” e “realmente congelado” se amplia a cada trimestre. A prevenção compra muito mais do que a recuperação.

Continue aprendendo

FAQ

Cripto roubada pode realmente ser rastreada se passar por um mixer?

Parcialmente. Mixers como o Tornado Cash misturam fundos de muitos usuários na mesma denominação, então links onchain diretos quebram. Mas analistas usam análise de tempo, análise de padrão de saque e comportamento pós-mixer para atribuir pontuações de probabilidade. Uma operação de mistura habilidosa pode reduzir a rastreabilidade abaixo de 50% de confiança; uma desleixada permanece acima de 80%. Salto entre cadeias através de pontes sem KYC (THORChain, Chainflip) atualmente quebra o rastreamento de forma mais confiável que mixers.

Por que 88% rastreável caiu para 68.57% em apenas um ano para a Bybit?

Rastreamento é um jogo de confiança, não binário. Analistas atribuem níveis de confiança a cada etapa no caminho de um fundo. Conforme os fundos passam por mais mixers e pontes, a confiança de cada link cai. Após saltos suficientes, a confiança cai abaixo do limite que os investigadores publicam — tipicamente em torno de 70-80%. Os fundos não desapareceram; a certeza analítica sobre para onde foram desapareceu.

Usar AMLBot ou Etherscan é legal no meu país?

Ler a blockchain pública é legal em todos os lugares — essa é toda a premissa dos livros-razão públicos. Usar serviços de pontuação AML é legal em todas as principais jurisdições. As questões de legalidade surgem em torno do uso de mixers (ilegal em algumas jurisdições quando projetados para esconder produtos do crime) e em torno do uso de ferramentas forenses para vigiar outros sem consentimento (regulamentado sob leis de proteção de dados como GDPR para residentes da UE). Ler endereços de suas próprias contrapartes antes de uma transação é totalmente legal.

Carteiras de hardware protegem contra esse tipo de ataque?

Contra roubo de chave privada, sim — esse é o trabalho delas. Contra manipulação de UI como o ataque Safe{Wallet}, não. As chaves dos signatários da Bybit nunca foram comprometidas; o front-end mentiu para eles sobre o que estavam assinando. A proteção contra ataques de UI é “evitação de assinatura cega” — usar firmware de carteira que decodifica e exibe os detalhes reais da transação na tela do dispositivo, independentemente da UI do computador host. Dispositivos Ledger mais novos, Keystone Pro e GridPlus Lattice suportam isso para muitos tipos de transação.

Se sou um usuário pequeno, estou realmente em risco do Lazarus?

Não diretamente. O Lazarus visa exchanges, grandes protocolos e provedores de infraestrutura, não carteiras individuais abaixo de $1M. O risco para usuários pequenos é a contaminação a jusante — receber fundos que, vários saltos para trás, originaram-se de uma carteira ligada ao Lazarus. É assim que um pagamento freelancer de $5.000 se torna um saldo de USDT congelado de $5.000 com um processo de recuperação de seis meses. A autoverificação AML aborda exatamente este risco.

Conclusão

O hack da Bybit não é uma aberração — é uma iteração. O Lazarus executou o mesmo playbook através de seis grandes roubos confirmados e contando, e o playbook funciona porque a maioria dos defensores não lê transações. A blockchain é pública, as ferramentas são em sua maioria gratuitas, e dez minutos de investigação antes de uma transferência são mais baratos do que seis meses esperando que uma carteira congelada seja liberada. A parte mais difícil não é a alfabetização técnica. É a disciplina para realmente fazer.

Se você levou uma coisa deste artigo, faça com que seja o fluxo de trabalho de autoverificação AML. Cinco etapas, dez minutos, e você estará mais preparado do que as pessoas que perderam $1.5 bilhão em fevereiro passado.

Alex cobre mercados de criptomoedas e tecnologia blockchain desde 2019. Ele foca em guias práticos que ajudam pessoas em mercados emergentes a usar cripto para poupança, pagamentos e remessas. Biografia completa

Aviso legal: Este artigo é apenas para fins educacionais e não constitui aconselhamento financeiro, jurídico ou de investimento. A forense de blockchain é um campo em rápida evolução; ferramentas, técnicas e riscos de contraparte mudam rapidamente. Sempre conduza sua própria diligência e consulte um profissional licenciado para conselhos específicos à sua situação. Os exemplos referenciam eventos reportados publicamente; a ChainGain não tem afiliação com as exchanges, protocolos ou atores de ameaça mencionados.

Explorar Todos os Guias →Enviar Dinheiro Mais Barato →