HACKERS COREIA DO NORTE: ROUBO DE CRIPTO-MOEDAS CHOCA MUNDO 2026

byVitor Neves -
0


 

HACKERS DA COREIA DO NORTE E CRIPTOMOEDAS: O QUE ESTÁ POR TRÁS DO MAIOR ROUBO DIGITAL DE 2026

No sábado, 18 de abril de 2026, enquanto a maior parte do mundo dormia, um grupo de hackers executou uma das operações mais sofisticadas já registradas no universo das finanças digitais. Em questão de horas, aproximadamente US$ 290 milhões — cerca de R$ 1,5 bilhão — foram drenados da plataforma de investimentos KelpDAO por meio de uma falha explorada nos servidores blockchain da LayerZero. Não se tratava de criminosos comuns. Os indícios apontavam, mais uma vez, para o Grupo Lazarus da Coreia do Norte, a divisão de ciberguerra mais temida do planeta.

O episódio imediatamente ganhou a classificação de maior ciberataque a criptomoedas desde o início de 2026, segundo o portal especializado CoinDesk. Mas para compreender a dimensão real deste evento — e por que ele vai muito além de um simples crime financeiro —, é preciso recuar no tempo e entender como os hackers da Coreia do Norte transformaram o roubo de criptomoedas em uma política de Estado altamente lucrativa, estratégica e praticamente impossível de deter com as ferramentas convencionais da diplomacia internacional.

O Ataque à KelpDAO: Como US$ 290 Milhões Desapareceram em Horas

A operação contra a KelpDAO foi precisa como um bisturi. Os invasores comprometeram dois servidores de blockchain operados pela LayerZero, uma infraestrutura que serve de ponte entre diferentes redes de criptomoedas. A brecha permitiu a criação indevida de tokens vinculados ao Ethereum, que foram então extraídos da plataforma de investimentos sem que os sistemas de segurança reagissem a tempo. A KelpDAO só confirmou publicamente o ataque dias depois, na terça-feira seguinte.

A LayerZero foi direta em seu comunicado oficial: "Indicadores preliminares sugerem que o perpetrador é um agente estatal altamente sofisticado, muito provavelmente o Grupo Lazarus da Coreia do Norte." Especialistas do setor não hesitaram em corroborar a hipótese. Henri Arslanian, cofundador da Nine Blocks Capital Management, afirmou categoricamente que nenhum outro grupo no mundo possui a expertise técnica e os recursos operacionais para conduzir um ataque dessa magnitude. O ataque superou ainda o hack ao protocolo Drift, de US$ 285 milhões, ocorrido em 1º de abril do mesmo ano — este também atribuído a atores norte-coreanos — consolidando um padrão aterrorizante de escalada.

Quem É o Grupo Lazarus: A Unidade de Ciberguerra de Kim Jong-un

O Grupo Lazarus não surgiu do nada. Ligado diretamente ao Reconnaissance General Bureau, o serviço de inteligência militar da Coreia do Norte, o grupo existe há pelo menos desde 2009 e ganhou notoriedade internacional em 2014 com o ataque à Sony Pictures, quando documentos confidenciais, filmes inéditos e dados de funcionários foram expostos como represália ao lançamento de uma comédia satirizando Kim Jong-un. Desde então, a evolução do grupo foi vertiginosa.

Em 2016, o Lazarus quase desviou US$ 1 bilhão do Banco Central de Bangladesh explorando o sistema de transferências interbancárias SWIFT. Em 2017, o ransomware WannaCry — atribuído ao grupo pelo governo dos EUA — infectou mais de 200 mil computadores em 150 países, paralisando hospitais, bancos e empresas de telecomunicações. Atualmente, o Lazarus opera com uma subdivisão especializada em criptomoedas chamada TraderTraitor, responsável pelos ataques mais recentes e tecnicamente avançados. Foi justamente o TraderTraitor que a LayerZero identificou como provável executor do ataque à KelpDAO em abril de 2026.

Hackers da Coreia do Norte: Uma Máquina de Financiar Armas Nucleares

A pergunta que qualquer analista sério precisa responder é: para onde vai todo esse dinheiro? A resposta, confirmada por painéis da ONU e agências de inteligência ocidentais, é perturbadora. Os recursos obtidos pelos hackers da Coreia do Norte por meio do roubo de criptomoedas são sistematicamente canalizados para financiar o programa de desenvolvimento de armas nucleares e mísseis balísticos do regime de Kim Jong-un. Em um país submetido às mais severas sanções econômicas internacionais, o cibercrime tornou-se literalmente uma fonte primária de receita estatal.

Os números confirmam essa lógica de maneira estarrecedora. Segundo a empresa de análise Elliptic, somente nos primeiros nove meses de 2025, os grupos ligados a Pyongyang acumularam mais de US$ 2 bilhões em ativos digitais roubados — o maior valor anual já registrado, representando um salto de 51% em relação ao ano anterior. A Chainalysis, outra referência global em rastreamento de ativos digitais, estimou que aproximadamente 60% de todos os roubos de criptomoedas ocorridos no mundo em 2025 tinham origem em operações norte-coreanas. Desde 2017, o acumulado já ultrapassa a barreira dos US$ 6 bilhões. Para contextualizar: o valor roubado em 2025 equivalia a cerca de 13% do PIB total da Coreia do Norte.

  • 2022: US$ 400 milhões roubados por grupos ligados ao regime
  • 2023: US$ 660 milhões em 20 incidentes registrados
  • 2024: US$ 1,34 bilhão em 47 ataques (61% de todos os roubos globais)
  • 2025: Mais de US$ 2 bilhões, novo recorde histórico
  • 2026: Já no início do ano, ataques de centenas de milhões de dólares mensais

A Evolução das Táticas: De Malware a Engenharia Social com IA

Durante anos, o padrão dos ataques norte-coreanos foi baseado em exploração direta de vulnerabilidades técnicas em plataformas de criptomoedas. A lógica era simples: encontrar uma falha no código, explorá-la antes que fosse corrigida e sair com os fundos. Esse modelo ainda é utilizado, como demonstra o ataque à KelpDAO, mas a grande transformação aconteceu na camada humana da segurança digital.

Relatórios da Elliptic e da Chainalysis confirmam que a maioria dos ataques bem-sucedidos em 2025 não explorou vulnerabilidades técnicas, mas sim táticas de engenharia social. Os hackers passaram a se disfarçar de recrutadores profissionais em plataformas como o LinkedIn, oferecendo falsas oportunidades de emprego em grandes empresas de tecnologia. Durante o processo de suposta entrevista, as vítimas eram induzidas a baixar arquivos infectados com malwares como o TraderTraitor e o AppleJeus — softwares capazes de roubar credenciais de carteiras digitais sem deixar rastros imediatos. Mais alarmante ainda: em 2025, o Google confirmou que hackers norte-coreanos passaram a utilizar o Gemini, a inteligência artificial da própria empresa, para gerar variações mais sofisticadas de seus malwares, dificultando a detecção por sistemas de segurança convencionais.

Essa combinação de capacidade técnica de ponta com manipulação psicológica sofisticada representa uma mudança de paradigma. O elo mais fraco da cadeia de segurança digital deixou de ser o código e passou a ser o ser humano — e nesse campo, os hackers norte-coreanos demonstram um nível de preparação assustador.

O Caso Bybit e o Padrão dos Grandes Alvos

Para entender a estratégia de 2026, é essencial revisitar o ataque à exchange Bybit, ocorrido em fevereiro de 2025. A operação resultou no desvio de aproximadamente US$ 1,5 bilhão em criptomoedas, o maior roubo individual de ativos digitais da história até aquele momento. O FBI atribuiu o ataque diretamente ao Grupo Lazarus, e a investigação revelou um dado que transformou a percepção sobre como esses criminosos operam: o ataque levou meses de planejamento, envolveu infiltração nos sistemas de segurança internos da exchange e foi executado com uma coordenação que rivalizava com operações de inteligência militares.

A lição aprendida pelo Lazarus após sucessivos ataques de menor escala foi clara: em vez de centenas de operações pequenas e dispersas, seria mais eficiente — e menos arriscado — concentrar recursos em poucos alvos de alto valor. Essa mudança de estratégia explica por que os valores roubados por ataque crescem exponencialmente enquanto o número de incidentes permanece relativamente controlado. É a diferença entre um ladrão de rua e um assaltante de banco com planta baixa e esquema de fuga.

Análise de Impacto: O Que Este Padrão Significa para o Mercado Cripto

O impacto desses ataques vai além do prejuízo financeiro imediato das vítimas diretas. Cada grande roubo atribuído a hackers norte-coreanos desencadeia uma série de consequências que afetam o ecossistema de criptomoedas como um todo. Em primeiro lugar, gera desconfiança generalizada, especialmente em plataformas DeFi (Finanças Descentralizadas), que por sua natureza distribuída apresentam superfícies de ataque mais complexas. Em segundo, pressiona reguladores ao redor do mundo a impor restrições mais severas ao setor, frequentemente atingindo projetos legítimos.

Há ainda um efeito geopolítico de longo prazo que raramente é discutido com a profundidade que merece. Ao acumular bilhões em criptomoedas, a Coreia do Norte está essencialmente construindo uma reserva soberana de ativos digitais que escapa de qualquer mecanismo de sanção convencional. O dinheiro, uma vez lavado através de mixers e exchanges em jurisdições permissivas, se converte em recursos para o programa balístico e nuclear do regime — um ciclo que alimenta diretamente as tensões na península coreana e, por extensão, na geopolítica global.

  • Impacto no mercado: Quedas pontuais de preço e fuga de liquidez após grandes ataques
  • Impacto regulatório: Pressão por legislações mais restritivas em DeFi e protocolos cross-chain
  • Impacto geopolítico: Financiamento direto de programas de armamentos proibidos
  • Impacto institucional: Enfraquecimento da confiança de investidores institucionais em exchanges
  • Impacto estratégico: Formação de reservas digitais soberanas à margem do sistema financeiro global

Contextualização Histórica: Quando Estados Roubam Como Criminosos

Há um paralelo histórico que poucos analistas ousam traçar, mas que é absolutamente pertinente. Durante a Segunda Guerra Mundial e a Guerra Fria, Estados utilizaram operações encobertas para financiar atividades proibidas por tratados internacionais — desde o tráfico de armas até o financiamento de grupos paramilitares em países terceiros. O que a Coreia do Norte faz com as criptomoedas é a versão digitalizada dessa prática: uma operação de financiamento encoberto em escala industrial, conduzida com plausibilidade denegável e praticamente sem fricção jurídica internacional.

A diferença fundamental em relação aos esquemas históricos é a velocidade e a escalabilidade. Uma operação de lavagem de dinheiro que levaria anos através de redes bancárias tradicionais pode ser concluída em dias no universo cripto, especialmente com o auxílio de mixers — serviços que embaralham transações para ocultar sua origem. O Tornado Cash e o Sinbad foram dois desses serviços sancionados pelos EUA justamente por terem sido usados para lavar ativos roubados pelo Grupo Lazarus. A cada serviço derrubado, no entanto, novos surgem em sua substituição, tornando o gato-e-rato regulatório uma batalha de resultados incertos.

Cenários Possíveis: O Que Pode Acontecer a Seguir

Diante desse padrão consistente e crescente, três cenários se delineiam para os próximos meses e anos. O primeiro e mais provável é a continuidade da escalada. O Grupo Lazarus — e especialmente sua subdivisão TraderTraitor — demonstrou capacidade de adaptação e aprendizado em cada ciclo de ataque. Com o uso de inteligência artificial para aprimorar malwares e a profissionalização das táticas de engenharia social, não há razão técnica para acreditar que os ataques diminuirão em frequência ou sofisticação.

O segundo cenário envolve uma resposta coordenada internacional mais efetiva. Governos ocidentais, especialmente EUA, Coreia do Sul e Japão, já demonstraram disposição para impor sanções a infraestruturas de lavagem de dinheiro cripto e até para operações ofensivas no ciberespaço contra infraestruturas norte-coreanas. Se essa coordenação se aprofundar — incluindo pressão sobre exchanges em jurisdições permissivas — o custo operacional para o Lazarus pode aumentar significativamente. O terceiro cenário, mais complexo, passa pela própria evolução regulatória do setor DeFi, que hoje opera em grande parte em zonas cinzentas legais que facilitam a movimentação de ativos roubados. Regulamentações mais robustas para protocolos cross-chain, como o LayerZero, poderiam fechar algumas das brechas que tornaram o ataque à KelpDAO possível.

O que parece certo, observando a trajetória dos últimos anos, é que enquanto existir assimetria entre a sofisticação dos atacantes e a capacidade defensiva das plataformas — e enquanto as criptomoedas continuarem sendo um canal eficaz para contornar sanções internacionais —, a Coreia do Norte seguirá explorando esse vetor com crescente agressividade. O roubo de R$ 1,5 bilhão da KelpDAO não é um episódio isolado. É mais um capítulo de uma guerra financeira que o mundo ainda não sabe exatamente como vencer.

Qual é a sua análise sobre esse padrão de ataques? Você acredita que o mercado de criptomoedas pode desenvolver defesas à altura da sofisticação do Grupo Lazarus? Deixe sua opinião nos comentários — e se conhece alguém envolvido com investimentos em ativos digitais, compartilhe este artigo. A informação é a primeira linha de defesa.

Perguntas Frequentes (FAQ)

O que é o Grupo Lazarus da Coreia do Norte?
O Grupo Lazarus é uma organização de hackers ligada diretamente ao governo da Coreia do Norte, especificamente ao seu serviço de inteligência militar. Ativo desde pelo menos 2009, o grupo é responsável por alguns dos maiores ciberataques da história, incluindo o roubo ao Banco Central de Bangladesh em 2016 e o ataque à exchange Bybit em 2025. Sua subdivisão TraderTraitor é especializada em roubo de criptomoedas.

Para onde vão as criptomoedas roubadas pelos hackers norte-coreanos?
Segundo painéis da ONU e relatórios de inteligência dos EUA, Japão e Coreia do Sul, os ativos digitais roubados são convertidos em recursos financeiros utilizados para financiar o programa de desenvolvimento de armas nucleares e mísseis balísticos da Coreia do Norte. O dinheiro passa por um processo de lavagem via mixers de criptomoedas antes de ser convertido em moeda convencional.

Como os hackers da Coreia do Norte conseguem roubar criptomoedas sem serem rastreados?
Os grupos norte-coreanos utilizam uma combinação de exploração de vulnerabilidades técnicas em protocolos blockchain e táticas avançadas de engenharia social. Para lavar os ativos, recorrem a mixers de criptomoedas — serviços que embaralham transações para ocultar a origem dos fundos — e a exchanges localizadas em jurisdições com regulamentação fraca. O uso de inteligência artificial para criar malwares mais sofisticados é uma tendência identificada em 2025.

O ataque à KelpDAO pode se repetir em outras plataformas?
Sim. O modelo de ataque a protocolos cross-chain, como demonstrado no caso LayerZero/KelpDAO, representa uma das principais superfícies de vulnerabilidade no ecossistema DeFi atual. Qualquer infraestrutura que conecte diferentes blockchains e movimente grandes volumes de ativos é um alvo em potencial. Especialistas recomendam auditorias de segurança frequentes, autenticação multifator robusta e monitoramento em tempo real de transações anômalas.

📣 Compartilhe Este Artigo

Se este conteúdo foi útil para você entender a dimensão real dos ataques cibernéticos norte-coreanos ao mercado de criptomoedas, compartilhe nas suas redes sociais. Informação de qualidade precisa circular. Ajude mais pessoas a compreenderem esse cenário antes de investir ou trabalhar com ativos digitais.

Leia Mais

📌 INACREDITÁVEL: Novo semáforo “inteligente” muda tudo e reduz trânsito em até 60% — ninguém esperava esse resultado

📌 PARA NÓS MIGALHAS, JÁ PARA ELES..

Fontes

Tags

Postar um comentário

Postagem Anterior Próxima Postagem