Hackers norte-coreanos roubaram US$ 6 bilhões em criptografia – incluindo 76% dos despojos de 2026: TRM

Hackers norte-coreanos roubaram quase três quartos de todas as criptomoedas tomadas por cibercriminosos até agora neste ano – não por meio de uma campanha incansável de ataques, mas por meio de dois assaltos executados com precisão visando plataformas financeiras descentralizadas em abril, de acordo com um novo relatório da empresa de inteligência blockchain Laboratórios TRM.

Os dois incidentes – um Violação de US$ 285 milhões do Drift Protocol em 1º de abril e um Exploração de US$ 292 milhões do Kelp DAO em 18 de abril – juntos respondem por 76% de todas as perdas de hackers de criptografia rastreadas até abril, apesar de representarem apenas 3% do número total de incidentes registrados.

Ao todo, o TRM Labs estima que hackers ligados à Coreia do Norte roubaram mais de US$ 6 bilhões de protocolos e projetos criptográficos desde 2017, incluindo alguns dos piores assaltos de todos os tempos da indústria.

Os números refletem uma concentração acelerada de roubo de criptomoedas por parte de agentes norte-coreanos ligados ao Estado. A participação de Pyongyang nas perdas totais de hackers de criptografia cresceu de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O número de 76% em 2026 até abril é a maior participação sustentada já registrada.

O ataque do Drift Protocol foi notável por sua paciência. A encenação na rede começou em 11 de março, e a campanha envolveu reuniões presenciais entre representantes norte-coreanos e funcionários da Drift durante um período de meses—uma tática que os analistas do TRM descreveram como potencialmente sem precedentes na longa campanha de hackers de criptografia da Coreia do Norte.

Os invasores exploraram um recurso Solana chamado nonce durável, que permite que transações pré-assinadas sejam mantidas e implantadas posteriormente. Em 1º de abril, 31 saques foram executados em aproximadamente 12 minutos, drenando ativos reais, incluindo USDC e JLP. Os fundos roubados foram rapidamente transferidos para Ethereum e permaneceram inativos desde então.

O ataque Kelp DAO seguiu um caminho diferente. Os invasores comprometeram dois nós RPC internos e, em seguida, lançaram um ataque de negação de serviço contra nós externos, forçando o único verificador da ponte a confiar nas fontes de dados envenenadas. Esses nós relataram falsamente que o ativo subjacente havia sido queimado na cadeia de origem quando tal ação não ocorreu, e aproximadamente 116.500 rsETH – no valor de aproximadamente US$ 292 milhões – foram drenados do contrato-ponte Ethereum.

Após o roubo do Kelp DAO, o Conselho de Segurança Arbitrum exerceu poderes de emergência para congelar cerca de US$ 75 milhões dos fundos roubados que haviam sido deixados na rede – uma intervenção rara que provocou uma rápida resposta de lavagem. Aproximadamente US$ 175 milhões em ETH foram então trocados por Bitcoin, principalmente por meio do THORChain, um protocolo de liquidez entre cadeias sem a necessidade de conhecer seu cliente.

THORChain processou a grande maioria dos rendimentos tanto do Violação de bybit em 2025— o pior roubo de sempre da indústria, com mais de 1,4 mil milhões de dólares em criptomoedas roubadas — e o hack Kelp DAO em 2026, convertendo centenas de milhões de ETH roubados em Bitcoin sem nenhum operador disposto a congelar ou rejeitar transferências.

Os analistas do TRM observaram que o grupo parece estar aprimorando suas ferramentas: os analistas começaram a especular que os operadores norte-coreanos estão incorporando ferramentas de IA em seus fluxos de trabalho de reconhecimento e engenharia social, um desenvolvimento consistente com a precisão crescente de ataques como o Drift, que exigiu semanas de manipulação direcionada de mecanismos complexos de blockchain.