Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Coreia do Norte roubou US$ 500 milhões de criptomoedas em 20 dias
Em pouco menos de três semanas, ciberoperadores ligados à República Popular Democrática da Coreia (RPDC) roubaram mais de US$ 500 milhões de plataformas criptográficas DeFi.
Isto marca uma escalada drástica na campanha patrocinada pelo Estado de Pyongyang para financiar os seus programas de armas através do roubo de criptomoedas.
Drift e KelpDAO impulsionam explorações DeFi de mais de US$ 500 milhões na Coreia do Norte
Notavelmente, o gêmeo devastador explorações visando o protocolo Drift e KelpDAO impulsionaram a aquisição ilícita de criptografia da Coreia do Norte durante o ano bem além da marca de US$ 700 milhões.
As perdas surpreendentes sublinham uma mudança de táctica por parte do exército cibernético de Kim Jong Un, que está cada vez mais a armar vulnerabilidades complexas da cadeia de abastecimento e a executar infiltrações humanas secretas para contornar os perímetros de segurança padrão.
Em 20 de abril, o provedor de infraestrutura cross-chain LayerZero confirmou que KelpDAO sofreu uma exploração que resultou na perda de aproximadamente US$ 290 milhões. A violação, que ocorreu em 18 de abril, agora é o maior hack de criptografia de 2026.
A empresa afirmou que a análise forense preliminar aponta diretamente para a TraderTraitor, uma célula especializada que opera dentro O notório Grupo Lazarus da Coreia do Norte.
Poucas semanas antes, em 1 de Abril, o Drift Protocol, bolsa descentralizada de futuros perpétuos baseada em Solana, foi drenado de cerca de 286 milhões de dólares.
A empresa de inteligência Blockchain Elliptic conectou rapidamente as metodologias de lavagem em cadeia, sequenciamento de transações e assinaturas em nível de rede a anteriores vetores de ataque estabelecidos na RPDCobservando que foi o 18º incidente desse tipo que a empresa rastreou somente neste ano.
Explorando a periferia da infraestrutura
A metodologia por trás dos ataques de abril revela um amadurecimento na forma como os hackers patrocinados pelo Estado visam as finanças descentralizadas (DeFi). Em vez de atacar frontalmente os contratos inteligentes essenciais e reforçados, os operadores estão a identificar e a explorar a periferia estrutural.
No caso do Ataque KelpDAOCamada Zero explicado que os hackers comprometeram a infraestrutura downstream de Chamada de Procedimento Remoto (RPC) utilizada pela Rede de Verificadores Descentralizados (DVN) do LayerZero Labs.
Ao envenenar esses caminhos críticos de dados, os invasores manipularam as operações do protocolo sem comprometer sua criptografia central. Desde então, o LayerZero descontinuau os nós afetados e restaurou totalmente as operações DVN, mas o dano financeiro já havia sido finalizado.
Esta abordagem indirecta realça uma evolução aterradora na guerra cibernética.
A empresa de segurança Blockchain Cyvers disse CriptoSlate que Atacantes ligados à Coreia do Norte estão demonstrando maior sofisticação e investindo mais recursos, tanto na preparação quanto na execução, para realizar seus ataques maliciosos.
A empresa acrescentou:
“Também observamos como eles encontram consistentemente o elo mais fraco. Neste caso, foi um terceiro e não a infraestrutura central do protocolo.”
A estratégia reflete fortemente a ciberespionagem corporativa tradicional e mostra que as violações ligadas à RPDC estavam a tornar-se mais difíceis de impedir.
Incidentes recentes, como o comprometimento da cadeia de fornecimento do amplamente utilizado pacote de software Axios npm, que os pesquisadores do Google vincularam a um ator de ameaça distinto da RPDC apelidado de UNC1069, demonstram um esforço contínuo e metódico para envenenar o poço antes mesmo de o software atingir o ecossistema blockchain.
Coreia do Norte se infiltra na força de trabalho criptográfica
Além das explorações técnicas, a Coreia do Norte está atualmente a executar uma infiltração massiva e coordenada no mercado de trabalho criptográfico global.
O modelo de ameaça mudou fundamentalmente de campanhas de hackers remotos para colocar pessoas mal-intencionadas diretamente nas folhas de pagamento de startups Web3 desavisadas.
Uma exaustiva investigação de seis meses do Projeto Ketman, uma iniciativa que opera no âmbito do programa de segurança ETH Rangers da Fundação Ethereum, recentemente concluído com descobertas surpreendentes: cerca de 100 agentes cibernéticos norte-coreanos estão atualmente integrados em várias empresas de blockchain.
Operando sob identidades fabricadas, esses sofisticados profissionais de TI passam rotineiramente por verificações padrão de recursos humanos, obtêm acesso a repositórios de códigos internos confidenciais e ficam sentados em silêncio nas equipes de produto por meses, ou até anos, antes de iniciar um ataque calculado.
Esta paciência ao estilo das agências de inteligência foi ainda mais corroborado por investigador independente de blockchain ZachXBT.
Recentemente, ele expôs uma rede especializada da RPDC que tem gerado cerca de US$ 1 milhão por mês usando personas fraudulentas para proteger o trabalho remoto.
Este esquema específico canaliza transferências criptográficas para fiduciárias através de canais financeiros globais sancionados e processou mais de 3,5 milhões de dólares desde o final de 2025.
As estimativas da indústria sugerem que A implantação mais ampla de trabalhadores de TI em Pyongyang gera múltiplas somas de sete dígitos mensalmente.
Isto cria um fluxo de receitas duplo para o regime: a acumulação constante de salários fraudulentos, combinada com os ganhos inesperados catastróficos das explorações de protocolos facilitadas por pessoas internas.
As redes de lavagem da Coreia do Norte e a sobrevivência macroeconômica
A enorme escala das operações de ativos digitais da Coreia do Norte supera a de qualquer sindicato tradicional de criminosos cibernéticos.
De acordo com a empresa de análise de blockchain Chainalysis, Hackers ligados à RPDC roubou um recorde de US$ 2 bilhões somente em 2025, representando impressionantes 60% de todos os roubos globais de criptomoedas naquele ano. Esse número foi fortemente reforçado por uma devastador ataque de US$ 1,5 bilhão na bolsa Bybit em fevereiro de 2025.
Considerando a campanha brutal deste ano, o total total de ativos criptográficos da Coreia do Norte é estimado em US$ 6,75 bilhões.
Uma vez que os fundos são roubados, Grupo Lázaro os agentes exibem padrões de lavagem regionalizados e altamente específicos. Ao contrário dos criminosos criptográficos comuns que frequentemente utilizam bolsas descentralizadas (DEXs) e protocolos de empréstimo peer-to-peer, os atores da RPDC evitam-nos ativamente.
Em vez disso, os dados da rede revelam uma forte dependência de serviços de garantia em língua chinesa, redes profundas de corretores de balcão (OTC) e serviços complexos de mistura entre cadeias.
Esta preferência específica aponta para restrições estruturais e rampas de saída profundamente estabelecidas e geograficamente limitadas, em vez de um acesso amplo e irrestrito ao sistema financeiro global.
Esses ataques podem ser evitados?
Pesquisadores de segurança e executivos do setor dizem que a resposta é sim, mas somente se as empresas de criptografia resolverem as mesmas fraquezas operacionais que continuam a surgir em grandes violações.
Terence Kwok, fundador da Humanidade, disse CriptoSlate que o padrão por detrás de muitas destas perdas ligadas à Coreia do Norte ainda aponta para fraquezas conhecidas, em vez de formas inteiramente novas de intrusão cibernética.
Na sua opinião, os intervenientes norte-coreanos estão a melhorar tanto os seus métodos de acesso como a sua capacidade de movimentar fundos roubados, mas os danos muitas vezes ainda se devem a controlos de acesso deficientes e ao risco operacional concentrado.
Ele explicou:
“O que é impressionante é a frequência com que os danos ainda se resumem aos mesmos pontos fracos em torno do controle de acesso e pontos únicos de falha. Isso indica que a indústria ainda tem alguns problemas básicos de disciplina de segurança que não foram resolvidos.”
Considerando isto, Kwok afirmou que a primeira linha de defesa da indústria é tornar a movimentação de ativos materialmente mais difícil de comprometer. Isso significa impor controles mais rígidos sobre chaves privadas, permissões internas e acesso de terceiros em toda a pilha de software.
Na prática, isso exigiria que as empresas reduzissem a dependência de operadores individuais, limitassem o acesso privilegiado, reforçassem as dependências dos fornecedores e construíssem mais verificações em torno da infra-estrutura que fica entre os protocolos principais e o mundo exterior.
A segunda prioridade é a velocidade. Quando os fundos roubados começam a circular através de cadeias, através de pontes ou para redes de branqueamento, as probabilidades de recuperação diminuem drasticamente. Kwok disse que exchanges, emissores de stablecoins, empresas de análise de blockchain e agências de aplicação da lei precisam se coordenar muito mais rapidamente durante os primeiros minutos e horas após uma violação, se quiserem melhorar a contenção.
Seus comentários apontam para uma realidade mais ampla para o setor.
Os sistemas criptográficos costumam ser mais difíceis de defender onde o código, as pessoas e as operações se encontram. Uma credencial comprometida, uma dependência fraca do fornecedor ou uma falha de permissão negligenciada podem criar uma abertura grande o suficiente para drenar centenas de milhões de dólares.
O desafio do DeFi não é mais apenas escrever contratos inteligentes resilientes. Está protegendo o perímetro operacional ao seu redor antes que os invasores explorem o próximo elo fraco.
