Hackers da Coreia do Norte roubam $6B cripto desde 2017, 76% das perdas de 2026

Hackers da Coreia do Norte roubaram quase três quartos de toda a criptomoeda obtida por cibercriminosos em 2026 até agora, por meio de dois ataques precisamente executados a plataformas de finanças descentralizadas em abril, segundo a empresa de inteligência blockchain TRM Labs. Os dois incidentes — um rombo de US$ 285 milhões no Drift Protocol em 1º de abril e um exploit de US$ 292 milhões no Kelp DAO em 18 de abril — somam 76% de todas as perdas com hacks em cripto rastreadas até abril. No total, a TRM Labs estima que hackers ligados à Coreia do Norte tenham roubado mais de US$ 6 bilhões de protocolos e projetos cripto desde 2017.

Metodologia de ataque e precisão

O ataque ao Drift Protocol se destacou por sua campanha prolongada de engenharia social. O estágio on-chain começou em 11 de março, e a campanha envolveu encontros presenciais entre proxies norte-coreanos e funcionários do Drift ao longo de meses. Os atacantes exploraram um recurso do Solana chamado durable nonce, que permite que transações pré-assinadas sejam mantidas e implantadas em um momento posterior. Em 1º de abril, 31 saques executados em aproximadamente 12 minutos drenaram ativos reais, incluindo USDC e JLP. Os recursos roubados foram movimentados rapidamente para a Ethereum e permaneceram em silêncio desde então.

O ataque ao Kelp DAO seguiu um caminho técnico diferente. Os atacantes comprometeram dois nós RPC internos e, depois, lançaram um ataque de negação de serviço contra nós externos, forçando o único verificador da ponte a depender de fontes de dados envenenadas. Esses nós reportaram falsamente que o ativo subjacente havia sido queimado na cadeia de origem, quando nenhuma ação desse tipo ocorreu, e aproximadamente 116.500 rsETH — no valor de cerca de US$ 292 milhões — foram drenados do contrato da ponte na Ethereum.

Escalonamento histórico do roubo cripto norte-coreano

Os números refletem uma concentração acelerada de furtos de criptomoeda por agentes norte-coreanos ligados ao Estado. A fatia de Pyongyang nas perdas totais com hacks cripto cresceu de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O dado de 2026, de 76% até abril, é a maior participação sustentada registrada, apesar de os dois incidentes representarem apenas 3% do número total de ocorrências registradas.

Movimentação de fundos e lavagem

Após o roubo do Kelp DAO, o Arbitrum Security Council exerceu poderes de emergência para congelar aproximadamente US$ 75 milhões dos fundos roubados que haviam ficado na rede — uma intervenção rara que provocou uma resposta rápida de lavagem. Em seguida, cerca de US$ 175 milhões em ETH foram trocados por Bitcoin, majoritariamente via THORChain, um protocolo de liquidez cross-chain que não exige verificação know-your-customer.

A THORChain processou a grande maioria dos recursos provenientes tanto do breach da Bybit em 2025 — o pior roubo já visto na indústria, com mais de US$ 1,4 bilhão em cripto roubado — quanto do hack do Kelp DAO em 2026, convertendo centenas de milhões de ETH roubado em Bitcoin sem que nenhum operador estivesse disposto a congelar ou rejeitar transferências.

Sofisticação crescente dos ataques

Analistas da TRM observaram que o grupo parece estar aprimorando suas ferramentas. Os analistas começaram a especular que operadores norte-coreanos estão incorporando ferramentas de IA aos fluxos de trabalho de reconhecimento e engenharia social, um desenvolvimento coerente com o aumento da precisão de ataques como o Drift, que exigiu semanas de manipulação direcionada de mecanismos complexos de blockchain.