- GitHub confirma acesso não autorizado a 3.800 repositórios de desenvolvedores
- CZ pede troca imediata de chaves de API, mesmo em repositórios privados
- Maio acumula US$ 35 milhões em perdas com hacks no setor cripto
O fundador da Binance, Changpeng Zhao, voltou ao centro do debate de segurança ao pedir publicamente que desenvolvedores cripto revisem seus sistemas após um incidente envolvendo o GitHub. A Microsoft confirmou uma invasão e reconheceu acessos não autorizados a 3.800 repositórios, o que motivou o alerta.
“Se você tem chaves de API no seu código, mesmo em repositórios privados, agora é hora de checar duas vezes e trocar”, escreveu o executivo em sua conta no X.
A pesquisadora de segurança Taylor Monahan endossou o aviso e foi além, recomendou que as credenciais sejam removidas dos repositórios, não apenas substituídas.
A frase-chave do alerta é binance ocupar novamente o papel de termômetro do setor diante de uma falha externa. A exchange já foi vítima indireta de ataques desse tipo no passado, o que ajuda a explicar o tom de urgência.
Por que chaves de API são tão críticas
Chaves de API autenticam a comunicação entre aplicações. Em outras palavras, elas atuam como a senha mestra que conecta exchanges, carteiras, bots de trading e plataformas de custódia. Quando essa credencial vaza, o invasor não precisa quebrar nenhum sistema. Basta se passar por usuário legítimo.
Esse tipo de brecha contorna até mesmo camadas de proteção como autenticação de múltiplos fatores. É exatamente por isso que o GitHub vira um alvo estratégico, ele armazena o código-fonte de boa parte da infraestrutura cripto global, e desenvolvedores frequentemente esquecem credenciais embutidas em arquivos.
A combinação é explosiva. Um único repositório comprometido pode contaminar dezenas de plataformas conectadas, configurando o que o setor chama de ataque de cadeia de suprimentos. O comunicado oficial da plataforma pode ser conferido na página de segurança do GitHub.
Histórico de prejuízos bilionários
O alerta de CZ não é teórico. O grupo norte-coreano Lazarus usou exatamente essa tática para invadir a infraestrutura de hot wallets da Bybit, em ataque que drenou US$ 1,5 bilhão em 2025. A DMM Bitcoin sofreu rombo de US$ 305 milhões em 2024 pelo mesmo método.
A própria Binance já apareceu em episódio semelhante. Quando a plataforma de trading automatizado 3Commas teve chaves de API vazadas, invasores executaram operações coordenadas para manipular pares na exchange. O prejuízo passou de US$ 22 milhões, repassado a clientes que confiaram suas credenciais ao serviço.
Para o investidor brasileiro, o ponto sensível é direto: quem usa bots de copy trading, gestores automatizados ou serviços de portfólio conectados via API em exchanges como Binance, Coinbase ou Bybit precisa rotacionar as chaves manualmente. Nenhuma corretora avisa clientes quando terceiros comprometem uma plataforma.
Maio mais calmo, mas risco elevado
Os números agregados mostram um respiro. As perdas com hacks em maio somam cerca de US$ 35 milhões até o momento, segundo dados da DefiLlama. O valor é 20 vezes menor que abril, mês em que o setor perdeu US$ 634 milhões média diária de US$ 21 milhões.
O recuo, porém, não significa trégua. No dia 18 de maio, o protocolo Echo Bridge foi invadido após o vazamento de uma chave privada. Foi o segundo grande incidente do tipo no mês, padrão que se conecta ao rombo em bridges cripto visto em 2026.
Agentes ligados à Coreia do Norte respondem por mais da metade dos valores roubados em ataques cripto e financiam programas militares. O cenário pressiona reguladores e amplia o escrutínio sobre exchanges que mantêm integrações com serviços terceiros, tema relacionado às críticas recentes de Elizabeth Warren sobre controles bancários no setor.
No Brasil, a Resolução 4.658 do Banco Central exige que instituições financeiras tenham políticas formais de segurança cibernética, mas exchanges cripto operam em zona cinzenta enquanto o marco regulatório da Lei 14.478 ainda aguarda regulamentação completa. O resultado prático é que o ônus de proteger chaves de API continua recaindo sobre o próprio usuário.
