Urgente! Organização hacker de nível nacional rouba 500 milhões de dólares em um mês, o mundo da criptografia enfrenta uma "guerra assimétrica", seus ativos estão seguros?

Nos últimos três semanas, um grupo de hackers associado a um país específico roubou mais de 500 milhões de dólares de plataformas financeiras descentralizadas. A tática de ataque passou por uma mudança radical: eles deixaram de atacar diretamente os contratos inteligentes centrais e passaram a focar nos pontos fracos da infraestrutura periférica.

Em dois ataques importantes contra Drift Protocol e KelpDAO, o grupo já obteve ilegalmente mais de 700 milhões de dólares em ativos criptográficos neste ano. Por trás dessas perdas massivas, está uma atualização significativa na sua estratégia: cada vez mais, eles exploram vulnerabilidades complexas e infiltrações profundas, contornando as defesas de segurança padrão.

No dia 20 de abril, o provedor de infraestrutura cross-chain LayerZero confirmou que o KelpDAO foi alvo de um ataque em 18 de abril, resultando na perda de aproximadamente 290 milhões de dólares, tornando-se o maior roubo de ativos criptográficos do ano até então. As evidências iniciais apontam diretamente para o TraderTraitor, um grupo especializado ligado ao infame Lazarus Group.

Apenas algumas semanas antes, em 1º de abril, a exchange descentralizada de contratos perpétuos baseada em Solana, Drift Protocol, foi roubada de cerca de 286 milhões de dólares. A empresa de inteligência blockchain Elliptic rapidamente relacionou as técnicas de lavagem de dinheiro, as sequências de transações e as assinaturas de rede às rotas de ataque conhecidas daquele país, indicando que este já é o 18º incidente semelhante rastreado neste ano.

As táticas de ataque de abril demonstram que os ataques contra DeFi evoluíram para uma fase mais madura. Os atacantes não focam mais na força bruta do núcleo, mas buscam e exploram vulnerabilidades estruturais na periferia. No caso do ataque ao KelpDAO, os hackers comprometeram a infraestrutura RPC de downstream usada pela rede de validação descentralizada da LayerZero Labs.

Ao manipular esses canais de dados críticos, os atacantes conseguiram controlar a operação do protocolo sem comprometer a criptografia central. A LayerZero desativou os nós afetados e restaurou completamente a rede de validação, mas as perdas financeiras já não podem ser recuperadas. Essa forma de ataque indireto revela uma evolução assustadora na guerra cibernética.

A empresa de segurança blockchain Cyvers afirmou à mídia que os hackers ligados a esse país estão cada vez mais experientes, investindo mais recursos na preparação e execução dos ataques. A empresa acrescentou que os invasores sempre conseguem identificar os pontos mais frágeis, sendo que neste caso a brecha foi em componentes de terceiros, e não na infraestrutura central do protocolo.

Essa estratégia é muito semelhante às atividades de espionagem de empresas tradicionais, o que também indica que esses ataques estão se tornando cada vez mais difíceis de prevenir. Recentemente, por exemplo, uma invasão na cadeia de suprimentos do pacote npm Axios, amplamente utilizado, foi relacionada ao grupo de ameaças UNC1069, ligado ao país. Isso mostra que os invasores estão sabotando o software antes mesmo de sua entrada no ecossistema blockchain.

Além das invasões técnicas, o país também realiza uma infiltração em grande escala e de forma organizada no mercado global de trabalho de criptomoedas. O padrão de ameaça mudou de ataques remotos para uma estratégia de infiltração direta: colocando agentes mal-intencionados dentro de startups Web3 desprevenidas.

O projeto Ketman, do programa de segurança ETH Rangers da Fundação Ethereum, investigou por seis meses e chegou a uma conclusão surpreendente: cerca de 100 agentes de inteligência cibernética desse país estão infiltrados em várias empresas de blockchain. Eles usam identidades falsas, passam facilmente por triagens de RH, obtêm acesso a códigos internos sensíveis, permanecem silenciosamente nos times por meses ou anos e, então, lançam ataques precisos.

O investigador independente ZachXBT confirmou essa infiltração ao divulgar um grupo de hackers especiais do país, que operam por meio de identidades fraudulentas, trabalhando remotamente e lucrando cerca de 1 milhão de dólares por mês. Essas operações usam canais financeiros globais reconhecidos para transferir criptomoedas para moeda fiduciária, tendo processado mais de 3,5 milhões de dólares desde o final de 2025.

Especialistas estimam que o total de funcionários de TI envolvidos pelo país gera milhões de dólares por mês. Isso cria uma dupla fonte de renda: salários estáveis e roubos massivos de protocolos com a ajuda de insiders.

O tamanho das operações de ativos digitais desse país já supera qualquer grupo de crime cibernético tradicional. Segundo dados da empresa de análise blockchain Chainalysis, apenas em 2025, hackers ligados ao país roubaram um recorde de 2 bilhões de dólares, representando 60% do total de roubos de criptomoedas daquele ano. Considerando as ações agressivas deste ano, o total de ativos roubados até agora atingiu 6,75 bilhões de dólares.

Após obterem os recursos, o Lazarus Group demonstra um padrão de lavagem de dinheiro altamente específico e regionalizado. Diferente de criminosos comuns que usam frequentemente exchanges descentralizadas e protocolos de empréstimo P2P, esses hackers evitam esses canais deliberadamente.

Dados na blockchain mostram que eles dependem fortemente de serviços de garantias na região de língua chinesa, redes de corretoras OTC sofisticadas e serviços complexos de mistura de moedas entre cadeias. Essa preferência indica limitações estruturais e restrições geográficas na monetização, ao invés de acesso irrestrito ao sistema financeiro global.

Especialistas em segurança e executivos do setor acreditam que os ataques podem ser prevenidos, mas as empresas de criptomoedas precisam resolver as mesmas vulnerabilidades operacionais que vêm sendo expostas em ataques de grande escala. Terence Kwok, fundador da Humanity, afirmou à mídia que os ataques relacionados ao país ainda apontam para vulnerabilidades comuns, e não para novas formas de invasão.

Ele acredita que os invasores estão aprimorando suas técnicas de invasão e de transferência de fundos ilícitos, mas a raiz do problema continua sendo o controle de acesso precário e os riscos de operações centralizadas. Ele explicou que, surpreendentemente, as perdas ainda são atribuídas a problemas antigos como controle de acesso e pontos únicos de falha, o que mostra que o setor ainda não resolveu as questões básicas de segurança.

Por isso, Kwok destacou que a primeira linha de defesa da indústria deve ser aumentar significativamente a dificuldade de transferir ativos, implementando controles mais rígidos sobre chaves privadas, permissões internas e acessos de terceiros. Na prática, as empresas devem reduzir a dependência de operadores individuais, limitar privilégios, reforçar fornecedores e acrescentar mais verificações na infraestrutura entre protocolos centrais e o mundo externo.

A segunda linha de defesa é a velocidade. Assim que os fundos roubados cruzarem cadeias, pontes ou entrarem em redes de lavagem, as chances de recuperação caem drasticamente. Kwok afirmou que exchanges, emissores de stablecoins, empresas de análise blockchain e agências de aplicação da lei precisam colaborar rapidamente nos minutos ou horas iniciais após o ataque para aumentar as chances de interceptar os fundos.

Suas palavras refletem a realidade do setor: as vulnerabilidades mais críticas do sistema de criptomoedas estão na interseção entre código, pessoas e operações. Uma credencial roubada, uma dependência fraca de fornecedores ou uma vulnerabilidade de permissão negligenciada podem causar perdas de bilhões de dólares. O desafio do DeFi não é mais apenas escrever contratos inteligentes robustos, mas proteger a operação periférica do protocolo antes que o invasor explore a próxima vulnerabilidade.