Hackers norte-coreanos roubam $6B cripto desde 2017, 76% das perdas de 2026

Hackers norte-coreanos roubaram quase três quartos de toda a criptomoeda obtida em 2026 até agora por cibercriminosos, através de dois ataques executados com precisão em plataformas de finanças descentralizadas em abril, segundo a empresa de inteligência blockchain TRM Labs. Os dois incidentes—uma violação de 285 milhões de dólares do Drift Protocol a 1 de abril e um exploit de 292 milhões de dólares do Kelp DAO a 18 de abril—somam 76% de todas as perdas por ataques de crypto-hack rastreadas até abril. No total, a TRM Labs estima que hackers ligados à Coreia do Norte tenham roubado mais de 6 mil milhões de dólares a protocolos e projetos de cripto desde 2017.

Metodologia e Precisão do Ataque

O ataque ao Drift Protocol foi particularmente notável pela sua campanha alargada de engenharia social. O planeamento on-chain começou a 11 de março, e a campanha incluiu reuniões presenciais entre proxies norte-coreanos e colaboradores do Drift ao longo de vários meses. Os atacantes exploraram uma funcionalidade da Solana chamada durable nonce, que permite que transações pré-assinadas sejam mantidas e utilizadas mais tarde. A 1 de abril, 31 levantamentos executados em aproximadamente 12 minutos, drenando ativos reais, incluindo USDC e JLP. Os fundos roubados foram rapidamente movidos para a Ethereum e permanecem inativos desde então.

O ataque ao Kelp DAO seguiu uma rota técnica diferente. Os atacantes comprometeram dois nós internos de RPC e, depois, lançaram um ataque de negação de serviço contra nós externos, forçando o único validador da ponte a depender de fontes de dados envenenadas. Esses nós reportaram falsamente que o ativo subjacente tinha sido queimado na cadeia de origem quando nenhuma ação desse tipo ocorreu, e cerca de 116.500 rsETH—no valor aproximado de 292 milhões de dólares—foram drenados do contrato da ponte Ethereum.

Escalada Histórica do Roubo Cripto da Coreia do Norte

Os números refletem uma concentração acelerada de roubos de criptomoeda por operativos norte-coreanos ligados ao Estado. A quota de Pyongyang nas perdas globais por crypto-hack cresceu de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O valor de 76% em 2026 até abril é a maior quota sustentada registada até agora, apesar de os dois incidentes representarem apenas 3% do número total de incidentes registados.

Movimentação de Fundos e Lavagem

Após o roubo do Kelp DAO, o Arbitrum Security Council exerceu poderes de emergência para congelar cerca de 75 milhões de dólares dos fundos roubados que tinham ficado na rede—uma intervenção rara que desencadeou uma resposta rápida de lavagem. Aproximadamente 175 milhões de dólares em ETH foram então trocados por Bitcoin, maioritariamente através da THORChain, um protocolo de liquidez cross-chain sem exigência de know-your-customer.

A THORChain processou a grande maioria dos rendimentos de ambos os eventos: a violação da Bybit em 2025—o pior roubo alguma vez visto na indústria, com mais de 1,4 mil milhões de dólares em cripto roubados—e o hack do Kelp DAO em 2026, convertendo centenas de milhões de ETH roubado em Bitcoin, sem que nenhum operador estivesse disposto a congelar ou rejeitar transferências.

Sofisticação Evolutiva dos Ataques

Analistas da TRM observaram que o grupo parece estar a apurar as suas ferramentas. Os analistas começaram a especular que os operadores norte-coreanos estão a incorporar ferramentas de IA nos seus fluxos de reconhecimento e engenharia social, um desenvolvimento coerente com o aumento da precisão de ataques como o do Drift, que exigiu semanas de manipulação direcionada de mecanismos complexos de blockchain.