Hackers norte-coreanos saqueiam 500 milhões de dólares por mês, tornando-se a maior ameaça à segurança na criptomoeda

Escreveu por: Oluwapelumi Adejumo

Traduzido por: Chopper, Foresight News

Em menos de três semanas, organizações de hackers relacionadas à Coreia do Norte roubaram mais de 500 milhões de dólares de plataformas DeFi de criptomoedas, com o ponto de ataque dos hackers passando de contratos inteligentes centrais para vulnerabilidades na infraestrutura de borda.

Drift e KelpDAO atacados

Duas grandes ataques ao Drift Protocol e KelpDAO fizeram com que os hackers norte-coreanos obtivessem mais de 700 milhões de dólares de lucros ilegais em criptomoedas este ano. As perdas massivas destacam a mudança tática deles: cada vez mais utilizam vulnerabilidades complexas, infiltrações profundas de insiders, contornando as defesas de segurança padrão.

Em 20 de abril, o provedor de infraestrutura de interoperabilidade LayerZero confirmou que o KelpDAO foi alvo de ataque em 18 de abril, com uma perda de cerca de 290 milhões de dólares, tornando-se o maior roubo de criptomoedas até 2026. A empresa afirmou que as evidências iniciais apontam diretamente para o TraderTraitor — um grupo especializado dentro do infame Lazarus Group, da Coreia do Norte.

Poucas semanas antes, em 1 de abril, a exchange descentralizada de contratos perpétuos baseada em Solana, Drift Protocol, foi roubada de aproximadamente 286 milhões de dólares. A empresa de inteligência blockchain Elliptic rapidamente relacionou as técnicas de lavagem na cadeia, sequências de transações e assinaturas de rede às rotas de ataque conhecidas da Coreia do Norte, indicando que este já é o 18º incidente semelhante rastreado neste ano.

Mudança de ataque: infiltração na periferia da infraestrutura

As táticas do ataque de abril demonstram que os hackers norte-coreanos estão se tornando mais sofisticados em ataques a DeFi. Eles não atacam mais diretamente os contratos inteligentes centrais, mas buscam e exploram vulnerabilidades estruturais na periferia.

No caso do ataque ao KelpDAO: os hackers invadiram a infraestrutura de RPC (chamada remota) de nível inferior usada pela rede de validação descentralizada (DVN) da LayerZero Labs. Ao adulterar esses canais de dados críticos, os invasores controlaram a operação do protocolo sem comprometer a criptografia central. A LayerZero desativou os nós afetados e restaurou totalmente a DVN, mas as perdas financeiras já não podem ser recuperadas.

Esse método de ataque indireto revela uma evolução assustadora na guerra de redes. A Cyvers, uma empresa de segurança blockchain, disse ao CryptoSlate: os atacantes ligados à Coreia do Norte estão ficando mais experientes, investindo mais recursos na preparação e execução dos ataques.

A empresa acrescentou: “Também observamos que eles sempre conseguem identificar os pontos mais frágeis. Desta vez, a brecha foi em componentes de terceiros, e não na infraestrutura central do protocolo.”

Essa estratégia é muito semelhante às atividades de espionagem de empresas tradicionais, o que também indica que os ataques relacionados à Coreia do Norte estão se tornando cada vez mais difíceis de prevenir. Incidentes recentes, como a invasão da cadeia de suprimentos do pacote npm Axios, amplamente utilizado, relacionada ao grupo de ameaças específico da Coreia do Norte, UNC1069, mostram que os invasores estão sistematicamente sabotando o software antes mesmo de entrar no ecossistema blockchain.

Infiltração da Coreia do Norte na indústria global de criptomoedas

Além dos avanços técnicos, a Coreia do Norte também está realizando uma infiltração em grande escala e organizada no mercado global de trabalho de criptomoedas.

O padrão de ameaça mudou de ações remotas de hackers para a colocação direta de insiders em startups Web3 desprevenidas.

Após uma investigação de seis meses pelo projeto de segurança Ketman, do Ethereum Foundation ETH Rangers, uma conclusão surpreendente foi alcançada: cerca de 100 agentes cibernéticos norte-coreanos estão infiltrados em várias empresas de blockchain. Eles usam identidades falsas, passam facilmente por triagens padrão de RH, obtêm acesso a códigos internos sensíveis e permanecem silenciosamente na equipe por meses ou anos, antes de lançar ataques precisos.

Um investigador independente de blockchain, ZachXBT, confirmou ainda mais essa infiltração ao expor uma rede especial da Coreia do Norte, que emprega identidades fraudulentas para trabalho remoto, com ganhos médios de cerca de 1 milhão de dólares por mês.

Esse esquema realiza transferências de criptomoedas para moeda fiduciária através de canais financeiros globais reconhecidos, tendo processado mais de 3,5 milhões de dólares desde o final de 2025.

Segundo especialistas, a Coreia do Norte tem uma renda mensal de milhões de dólares com sua força de trabalho de TI. Isso gera duas fontes de receita: salários estáveis + roubos massivos de protocolos com a ajuda de insiders.

Total de roubo de 6,75 bilhões de dólares

O volume de negócios de ativos digitais da Coreia do Norte supera qualquer outro grupo de crime cibernético tradicional. Segundo a Chainalysis, apenas em 2025, hackers ligados à Coreia do Norte roubaram um recorde de 2 bilhões de dólares, representando 60% do total de roubos de criptomoedas daquele ano.

Considerando as intensas ações de ataque deste ano, o total de ativos criptográficos roubados pela Coreia do Norte já atingiu 6,75 bilhões de dólares.

Após o roubo, o Lazarus Group demonstra um padrão de lavagem altamente específico e regionalizado: ao contrário de criminosos comuns que usam DEX e protocolos de empréstimo ponto a ponto, os hackers norte-coreanos evitam esses canais. Os dados na cadeia mostram que eles dependem fortemente de serviços de garantia na região de língua chinesa, redes de corretoras OTC profundas e serviços complexos de mistura de cross-chain. Essa preferência indica uma limitação estrutural e geográfica na monetização, ao invés de uma conexão ilimitada com o sistema financeiro global.

É possível prevenir?

Especialistas em segurança e executivos do setor acreditam que é possível prevenir, mas as empresas de criptomoedas precisam resolver as mesmas vulnerabilidades operacionais expostas por múltiplos ataques de grande escala.

Terence Kwok, fundador da Humanity, disse ao CryptoSlate que os ataques relacionados à Coreia do Norte continuam a explorar vulnerabilidades comuns, e não novas formas de invasão. Ele acredita que os hackers norte-coreanos estão aprimorando suas técnicas de invasão e transferência de fundos ilícitos, mas a raiz do problema ainda são controles de acesso ruins e riscos de operação centralizada.

Ele explicou: “O chocante é que as perdas ainda são atribuídas a problemas antigos, como controle de acesso e pontos únicos de falha. Isso mostra que o setor ainda não resolveu as questões básicas de segurança.”

Com base nisso, Kwok aponta que a primeira linha de defesa é dificultar ao máximo a transferência de ativos, implementando controles mais rígidos sobre chaves privadas, permissões internas e acessos de terceiros. Na prática, as empresas devem reduzir a dependência de operadores individuais, limitar privilégios, reforçar a dependência de fornecedores e implementar verificações adicionais na infraestrutura entre os protocolos centrais e o mundo externo.

A segunda linha de defesa é a velocidade. Uma vez que fundos roubados cruzam cadeias, pontes ou entram em redes de lavagem, as chances de recuperação caem drasticamente. Kwok afirma que exchanges, emissores de stablecoins, empresas de análise blockchain e agências de aplicação da lei devem colaborar rapidamente nos minutos ou horas iniciais após o ataque, para aumentar as chances de interceptar os fundos.

Ele destacou a realidade do setor: as vulnerabilidades mais críticas do sistema de criptomoedas estão na interseção entre código, pessoas e operações. Uma credencial roubada, uma dependência fraca de fornecedores ou uma vulnerabilidade de permissão negligenciada podem causar perdas de bilhões de dólares.

Os desafios do DeFi não são mais apenas escrever contratos inteligentes robustos, mas também proteger a segurança operacional do protocolo na periferia antes que os invasores explorem o próximo ponto fraco.