Caso Upbit: o que o hack de US$ 36 milhões em Solana ensina sobre o risco de hot wallets

Deixe um comentário / Criptomoedas & Web3 / Por

Meta description
A Upbit sofreu um hack de cerca de US$ 36 milhões em tokens Solana via hot wallet. Entenda o que aconteceu, como a exchange reagiu e o que isso ensina sobre o risco de hot wallets para quem investe em cripto.

Introdução: mais um hack em exchange — mas com uma lição clara

No fim de novembro de 2025, a Upbit, maior exchange de criptomoedas da Coreia do Sul, voltou às manchetes pelos motivos errados:

  • uma hot wallet na rede Solana foi comprometida;
  • cerca de US$ 36–38 milhões em ativos foram drenados, algo em torno de 54–57 bilhões de won;
  • o ataque envolveu mais de 20 tokens SPL, incluindo USDC, BONK, JTO, SONIC, RAY, RENDER, ORCA, PYTH, JUP, SOL e outros.

A Upbit reagiu rapidamente:

  • suspendeu depósitos e saques na rede Solana;
  • moveu os fundos restantes da hot wallet para cold storage;
  • prometeu cobrir 100% das perdas dos clientes com recursos próprios.

Mais tarde, autoridades e analistas passaram a suspeitar que o ataque teria ligação com o grupo Lazarus, ligado ao regime norte-coreano, conhecido por grandes hacks anteriores.

Além do noticiário, esse caso é um prato cheio para educação financeira:

por que hot wallets são tão vulneráveis?
até onde dá para confiar na segurança da exchange?

É isso que vamos destrinchar.

1. O que aconteceu no hack da Upbit em Solana

1.1. Linha do tempo do ataque

De acordo com relatórios públicos e comunicados da própria exchange:

  • na madrugada de 27 de novembro de 2025 (horário da Coreia), sistemas da Upbit detectaram “atividade anormal de saques” em uma hot wallet ligada à rede Solana;
  • em poucos minutos, cerca de US$ 36–38 milhões em tokens foram enviados para um endereço desconhecido;
  • os ativos roubados incluíam um mix de stablecoins, memecoins, tokens DeFi e de infraestrutura do ecossistema Solana (USDC, BONK, JTO, SONIC, RAY, RENDER, ORCA, PYTH, JUP, entre outros).

O ataque foi rapidamente identificado por empresas de monitoramento on-chain, que passaram a alertar sobre um grande fluxo saindo de carteiras vinculadas à Upbit.

1.2. Medidas imediatas da Upbit

Assim que percebeu o problema, a Upbit tomou algumas ações de emergência:

  • suspendeu todos os depósitos e saques relacionados à rede Solana;
  • isolou a hot wallet comprometida e migrou os saldos remanescentes para cold wallets;
  • iniciou processos para congelar tokens via projetos parceiros, conseguindo travar parte dos ativos roubados (como LAYER);
  • comunicou publicamente que nenhum cliente arcaria com prejuízo, pois o valor seria coberto com reservas da própria empresa.

Dias depois, a exchange começou a reabrir gradualmente depósitos e saques para os ativos que já haviam passado por auditoria e revisão de segurança.

2. Por que o ataque mirou uma hot wallet — e não a Solana em si

2.1. Hot wallet x cold wallet: o básico da história

É importante entender que:

  • hot wallet = carteira conectada à internet, usada para operações do dia a dia (depósitos, saques, liquidação de trades);
  • cold wallet = carteira offline, normalmente hardware ou armazenamento isolado, usada para guardar a maior parte dos fundos de forma mais segura.

No caso da Upbit, o ataque:

  • não foi um hack da blockchain Solana;
  • foi um comprometimento de infraestrutura da exchange (chave privada, acesso administrativo, API, servidor ou combinação disso).

Ou seja:

a rede Solana continuou funcionando normalmente — o que falhou foi a camada de custódia/segurança da Upbit ligada a uma hot wallet.

2.2. Por que exchanges precisam de hot wallets

Exchanges centralizadas (CEX) precisam de hot wallets para:

  • processar depósitos e saques rápidos;
  • abastecer ordens de mercado e liquidação;
  • lidar com volume alto em múltiplas redes.

Na prática, isso significa manter uma parte do saldo sempre online. Quanto maior a exchange e mais redes ela suporta, maior a superfície de ataque.

Mesmo com camadas de segurança (multisig, whitelists, limiares de saque, monitoramento em tempo real),
o simples fato de estar conectado à internet torna a hot wallet um alvo muito mais fácil do que uma cold wallet offline.

3. Suspeita sobre o grupo Lazarus e o contexto de ataques anteriores

Autoridades sul-coreanas e empresas de segurança levantaram a hipótese de participação do Lazarus Group, grupo de hackers ligado à Coreia do Norte:

  • o padrão do ataque lembra outros casos em que o grupo teria comprometido contas administrativas ou usado engenharia social para ganhar acesso privilegiado;
  • o Lazarus já foi responsabilizado por centenas de milhões de dólares em hacks cripto recentes, incluindo casos envolvendo exchanges asiáticas.

A própria Upbit não é “virgem” em hacks:

  • em 2019, a exchange já tinha sofrido um ataque que drenou cerca de 342.000 ETH, episódio também investigado com suspeita sobre o Lazarus.

Isso reforça um ponto importante: mesmo grandes operações, com histórico e receita bilionária,
continuam sendo alvo prioritário de grupos altamente sofisticados.

4. O que o caso Upbit ensina sobre o risco de hot wallets

Vamos para a parte prática: que lições tirar disso como investidor ou trader?

4.1. Exchange não é carteira

A primeira e mais batida — mas que muita gente ignora:

exchange é lugar de trade, não de custódia de longo prazo.

Se até a maior corretora da Coreia do Sul, com histórico robusto e possível fusão bilionária com gigante de tecnologia, é hackeada,
fica claro que “tamanho” não elimina risco operacional.

Para quem investe:

  • ativos de longo prazo deveriam estar em carteiras sob sua própria custódia (cold wallets, carteiras de software não-custodiais, etc.);
  • deixar grandes quantias em exchange, especialmente por muito tempo, é assumir risco de contraparte — por mais sólida que ela pareça.

4.2. Hot wallets são “ponto de fragilidade estrutural”

Do ponto de vista de arquitetura:

  • enquanto houver necessidade de hot wallets para liquidez,
  • haverá ponto de ataque exposto à internet.

Isso não quer dizer que toda hot wallet vai ser hackeada, mas:

  • ataques bem sucedidos tendem a ser grandes (porque as hot wallets concentram saldos operacionais relevantes);
  • e cada nova rede integrada (como Solana, L2, sidechains) adiciona superfície de ataque.

4.3. “A exchange vai ressarcir” ajuda, mas não resolve tudo

No caso da Upbit:

  • a empresa prometeu cobrir integralmente os prejuízos com recursos próprios;
  • clientes não perderam saldo nominal.

Mas isso não elimina outros riscos:

  • risco de liquidez (se o valor roubado fosse maior do que a capacidade do caixa?);
  • risco de tempo (quanto tempo o usuário fica com saques bloqueados?);
  • risco de concentração (depender de uma única corretora para tudo).

Hoje deu “certo” — mas não é garantia de que todas as exchanges reagiriam da mesma forma, principalmente as menores.

4.4. Congelamento on-chain ajuda, mas não salva sempre

Upbit e parceiros conseguiram congelar parte dos fundos roubados, especialmente em tokens que permitem esse tipo de intervenção (como LAYER).

Só que:

  • nem todo token tem função de congelamento;
  • atacantes podem rapidamente trocar ativos por outros (como SOL → USDC → ETH) e mandar para outras redes, ofuscando mais a trilha.

Ou seja, congelamento é paliativo, não solução completa.

5. Como o investidor pode se proteger melhor (mesmo usando exchanges)

Algumas práticas que fazem diferença na vida real:

  1. Use exchanges como “ponte”, não como cofre
    • Faça o depósito, opere, retire o que for de longo prazo.
    • Deixe na corretora apenas o que faz sentido para trade ativo.
  2. Diversifique custódia
    • Evite concentrar tudo numa única exchange, principalmente off-shore.
    • Tenha uma parte em carteira própria (hardware wallet, por exemplo).
  3. Segurança básica de conta
    • 2FA por app (Google Authenticator, Authy etc.), nunca só SMS.
    • E-mail exclusivo para contas financeiras, com senha forte e 2FA.
  4. Atenção a redes e tokens “exóticos”
    • Ataques muitas vezes exploram integrações mais novas, com processos ainda amadurecendo.
    • Se for operar em redes recém-adicionadas, redobre cuidado e limites de valor.
  5. Esteja preparado para “saques suspensos”
    • Em caso de incidente, a primeira medida da exchange é travar tudo.
    • Tenha sempre uma parte da liquidez fora da corretora, para não ficar 100% travado.

Lembrando: nada disso elimina totalmente o risco apenas reduz a probabilidade de dano irreversível.

FAQ – Perguntas frequentes sobre o hack da Upbit e hot wallets

1. A blockchain da Solana foi hackeada?
Não. O ataque não foi na Solana em si, e sim na infraestrutura da Upbit ligada a uma hot wallet na rede Solana. A blockchain continuou funcionando normalmente; quem foi comprometida foi a custódia da exchange.

2. Clientes da Upbit perderam dinheiro?
Segundo a própria exchange, não. A empresa se comprometeu a ressarcir 100% do valor roubado usando seus próprios recursos, absorvendo o prejuízo como perda operacional.

3. Por que as hot wallets são tão visadas por hackers?
Porque elas:

  • ficam online o tempo todo;
  • movimentam valores relevantes para liquidez;
  • geralmente têm permissões operacionais amplas (saques, swaps etc.).

Isso as torna mais vulneráveis que cold wallets, que ficam offline e exigem processos manuais para movimentação.

4. O grupo Lazarus realmente está por trás do ataque?
Autoridades sul-coreanas e empresas de segurança consideram o Lazarus Group um forte suspeito, por similaridade de padrão com ataques anteriores e histórico do grupo em hacks a exchanges. Porém, como em muitos casos de cibercrime, é difícil obter confirmação 100% definitiva.

5. Isso significa que não dá para confiar em nenhuma exchange?
Não é tão simples. Exchanges grandes podem ter:

  • estruturas robustas de segurança;
  • fundos de reserva;
  • histórico de ressarcimento.

Mas nenhuma é infalível. O ponto não é “nunca usar exchange”, e sim:

  • usar de forma inteligente;
  • não concentrar patrimônio;
  • manter parte relevante em custódia própria;
  • tratar CEX como parceiro operacional, não como “banco” sem risco.

Conclusão: o recado do caso Upbit

O hack de cerca de US$ 36 milhões em tokens Solana na Upbit reforça uma mensagem que o mercado insiste em repetir, mas que muitos ignoram até sentir na pele:

hot wallets são, por natureza, pontos frágeis e usar exchange para tudo é terceirizar um risco que continua sendo seu.

A boa notícia é que, desta vez, uma grande corretora:

  • agiu rápido,
  • comunicou o mercado,
  • protegeu usuários,
  • e assumiu o prejuízo.

Mas contar com esse desfecho como regra é perigoso.

Se você opera ou investe em cripto, aproveite esse caso para revisar sua estratégia de custódia,
rever o quanto deixa parado em exchanges
e reforçar o básico de segurança digital — porque, no fim do dia, o ativo é seu, e a responsabilidade também.

Related Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscreva-se
Inscreva-se