Hackers ligados à Coreia do Norte roubaram cerca de US$ 577 milhões em criptomoedas nos quatro primeiros meses de 2026, o equivalente a 76% de todas as perdas globais com ataques ao setor no período, segundo relatório da empresa de inteligência blockchain TRM Labs. O dado chama atenção não apenas pelo volume, mas pela concentração: praticamente todo esse valor veio de apenas dois ataques em abril, contra o Drift Protocol e a KelpDAO.
De acordo com a TRM, o ataque à KelpDAO resultou na perda de US$ 292 milhões, enquanto a invasão ao Drift Protocol levou outros US$ 285 milhões. Juntos, os dois casos representaram apenas 3% do número total de incidentes registrados em 2026 até abril, mas responderam por mais de três quartos do valor roubado no mercado cripto no período.
A concentração reforça uma característica já conhecida da atuação norte-coreana no setor: em vez de uma grande quantidade de ataques menores, os grupos associados ao país tendem a mirar poucos alvos de alto valor, com operações complexas e preparadas com antecedência. Segundo a TRM, os roubos atribuídos à Coreia do Norte já somam mais de US$ 6 bilhões desde 2017.
A fatia dos hackers norte-coreanos nas perdas globais também vem crescendo. A participação era inferior a 10% em 2020 e 2021, passou para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. Nos quatro primeiros meses de 2026, chegou a 76%, maior nível sustentado já registrado pela empresa.
Ataques exploraram engenharia social e falhas em pontes
No caso do Drift Protocol, a TRM afirma que o ataque foi realizado por um subgrupo norte-coreano diferente do TraderTraitor, operação associada ao Lazarus Group. A campanha teria envolvido meses de engenharia social e reuniões presenciais entre representantes norte-coreanos e funcionários do Drift.
A preparação técnica começou em 11 de março, semanas antes do roubo. Os invasores criaram contas de “durable nonce” na Solana, recurso que permite que transações pré-assinadas continuem válidas por tempo indeterminado, e conseguiram induzir membros do Security Council multisig do Drift a pré-autorizarem operações que depois seriam usadas no ataque.
Leia também: KelpDAO sofre o maior hack DeFi do ano e provoca saques de US$ 10 bilhões
No dia 1º de abril, poucos dias depois de o Drift migrar seu Security Council para uma configuração 2 de 5 sem período de espera, o invasor executou 31 saques pré-assinados em cerca de 12 minutos. Os recursos drenados foram convertidos e enviados para a Ethereum, onde permanecem em grande parte parados desde então.
Já o ataque à KelpDAO seguiu outro caminho. Segundo a TRM, os hackers exploraram uma falha no desenho de verificação de uma ponte LayerZero usada pelo protocolo, comprometeram nós RPC internos e fizeram o sistema validar dados falsos da blockchain. Como a estrutura dependia de apenas um verificador, a manipulação foi suficiente para aprovar a mensagem fraudulenta.
O resultado foi o saque de aproximadamente 116,5 mil rsETH, avaliados em US$ 292 milhões. A TRM atribuiu esse ataque ao TraderTraitor, grupo associado ao ecossistema Lazarus, e afirmou que parte da infraestrutura usada na operação tinha ligação com carteiras relacionadas a intermediários chineses e a roubos anteriores.
Lavagem passa por pontes, Bitcoin e intermediários
Os dois ataques também mostraram estratégias diferentes para movimentar os recursos roubados. No caso do Drift, os fundos foram enviados para Ethereum e ficaram praticamente parados, em um padrão que pode indicar uma tentativa de esperar meses ou anos antes de iniciar uma liquidação em etapas.
No caso da KelpDAO, a movimentação foi mais rápida. Depois do roubo, parte dos recursos ficou na Arbitrum e cerca de US$ 75 milhões foram congelados pelo Security Council da rede. A partir daí, os hackers aceleraram a lavagem, convertendo aproximadamente US$ 175 milhões em ETH para Bitcoin, principalmente por meio da THORChain, protocolo de liquidez cross-chain sem exigência de KYC.
Leia também: Projeto da Solana perde R$ 1,3 bilhão no 2º maior ataque da rede
Segundo a TRM, a THORChain voltou a aparecer como uma rota relevante para recursos roubados pela Coreia do Norte. A empresa afirma que o protocolo processou a maior parte dos valores desviados tanto no ataque à Bybit, em 2025, quanto no caso da KelpDAO, em 2026. Na fase atual, a lavagem dos recursos da KelpDAO estaria sendo conduzida em grande parte por intermediários chineses, e não diretamente pelos norte-coreanos.
O relatório reforça que o problema não está apenas no volume roubado, mas na sofisticação crescente das operações. Para a TRM, os ataques recentes mostram que grupos ligados à Coreia do Norte estão priorizando pontes entre blockchains, sistemas de governança com múltiplas assinaturas e infraestrutura cross-chain — pontos que concentram grandes volumes de recursos e continuam sendo alvos críticos para o mercado cripto global.
A porta de entrada para o bitcoin, a maior criptomoeda do mundo, está no MB. É simples, seguro e transparente. Deixe de adiar um investimento com potencial gigantesco. Invista em poucos cliques!
