Atores de hackers norte-coreanos já se tornaram o maior pesadelo do mundo das criptomoedas. Recentemente, ao ver o relatório da TRM Labs, os dados me deixaram um pouco assustado — em apenas 4 meses este ano, organizações de hackers da Coreia do Norte roubaram cerca de 577 milhões de dólares, representando 76% dos fundos roubados globalmente no mesmo período. Essa proporção é realmente impressionante.

As perdas vêm principalmente de dois grandes eventos ocorridos em abril. O DAO Kelp foi esvaziado de 292 milhões de dólares, enquanto o Protocolo Drift foi roubado de 285 milhões de dólares. Curiosamente, esses dois casos representam apenas 3% do total de ataques nos primeiros 4 meses do ano, mas responderam pela maior parte das perdas. Isso indica que os hackers norte-coreanos já evoluíram de "atirar para todos os lados" para ataques de precisão.

No caso do Kelp DAO, o ataque foi realizado pelo infame TraderTraitor, que tem fortes ligações com o grupo Lázaro. Já o Drift foi obra de outro grupo de hackers norte-coreanos ainda não totalmente revelado.

Falando sobre o ataque ao Drift, acho que o aspecto mais assustador é que não foi uma simples emboscada. A TRM revelou que foi uma operação de infiltração meticulosa que durou meses. Agentes norte-coreanos realizaram múltiplos encontros presenciais com a equipe do Drift, começando a implantação de preparativos a partir de 11 de março, criando contas nonce permanentes na Solana para assinar transações antecipadamente, além de induzir membros do conselho de segurança do Drift a conceder autorizações prévias. O golpe fatal ocorreu em 1º de abril, logo após o Drift ajustar o limite de permissões do conselho de segurança e cancelar o mecanismo de bloqueio de tempo, quando os hackers acionaram 31 ordens de retirada pré-assinadas em apenas 12 minutos, esvaziando os fundos. Essa combinação de engenharia social e manipulação técnica é quase impossível de detectar.

A experiência do Kelp DAO é outro tipo de esquema. Os hackers identificaram uma vulnerabilidade na arquitetura do protocolo de comunicação cross-chain LayerZero, que utiliza um "verificador único" na ponte, invadindo a infraestrutura RPC e alterando a lógica de verificação. Após forçar o sistema a transferir o controle de verificação para um nó sob seu controle, mais de 116 mil rsETH foram roubados. Mesmo com a equipe oficial do Arbitrum congelando alguns ativos de emergência, os hackers rapidamente transferiram os fundos usando protocolos de liquidez cross-chain como o THORChain.

Ainda mais preocupante é a tendência. A participação dos hackers norte-coreanos no total de criptomoedas roubadas globalmente está em rápida ascensão — de menos de 10% em 2020 e 2021, subindo para 22% em 2022, 37% em 2023, 39% em 2024, chegando a 64% em 2025, e atingindo um recorde de 76% neste ano. Desde 2017, os hackers norte-coreanos já roubaram mais de 6 bilhões de dólares em criptomoedas.

A TRM aponta que o grande caso de 1,46 bilhão de dólares roubados de uma grande exchange em 2025 marcou um ponto de virada no modus operandi dos hackers norte-coreanos. Depois disso, eles mudaram de tática, deixando de atacar aleatoriamente e passando a focar em alvos de alto valor, como pontes cross-chain e sistemas de governança multi-assinatura, buscando um golpe certeiro.

Curiosamente, os casos do Drift e do Kelp DAO também refletem a diversificação nas técnicas de lavagem de dinheiro dos hackers norte-coreanos. Os hackers do Drift demonstram muita paciência, transferindo fundos para Ethereum e permanecendo inativos por meses ou até anos, planejando vender os ativos quando a atenção diminuir. Por outro lado, os hackers do Kelp DAO preferem uma abordagem rápida, trocando os fundos por Bitcoin via THORChain e deixando a lavagem de dinheiro para intermediários underground.

Diante dessa ameaça crescente, a TRM recomenda que as plataformas reforcem imediatamente suas monitorizações de conformidade. As principais estratégias de defesa incluem monitorar rigorosamente os fundos cross-chain que saem via THORChain, fortalecer o rastreamento de transações em pontes cross-chain, especialmente aquelas envolvendo mecanismos de nonce permanentes na Solana, e realizar uma triagem rigorosa das rotas de depósito relacionadas à governança do Solana. Além disso, a indústria deve se envolver ativamente em mecanismos de defesa colaborativa, como a Beacon Network, que permite a detecção rápida de carteiras de hackers norte-coreanos e o acionamento de alertas conjuntos entre plataformas, cortando de vez o fluxo de lavagem de dinheiro. Essa batalha ainda está longe de acabar, e o pesadelo no mundo das criptomoedas continua.