A hackers norte-coreanos já se tornaram o maior pesadelo do mundo das criptomoedas. Recentemente, ao ver o relatório da TRM Labs, os dados me deixaram um pouco assustado — em apenas 4 meses este ano, os hackers norte-coreanos roubaram cerca de 577 milhões de dólares, representando 76% do total de fundos roubados globalmente no mesmo período. Essa proporção é realmente impressionante.

As perdas vêm principalmente de dois grandes incidentes ocorridos em abril. O DAO Kelp foi esvaziado de 292 milhões de dólares, enquanto o protocolo Drift foi roubado de 285 milhões de dólares. Curiosamente, esses dois casos representam apenas 3% do total de ataques nos primeiros 4 meses do ano, mas responderam pela maior parte das perdas. Isso indica que os hackers norte-coreanos já evoluíram de ataques aleatórios para ataques de precisão.

No caso do Kelp DAO, o responsável foi o infame TraderTraitor, que mantém estreitas ligações com o grupo Lázaro. Já o Drift foi realizado por outro grupo de hackers norte-coreanos ainda não totalmente revelado.

Falando sobre o ataque ao Drift, acho que o aspecto mais assustador é que não foi uma simples emboscada. A TRM revelou que se tratou de uma operação de infiltração meticulosa que durou meses. Agentes norte-coreanos realizaram múltiplos encontros presenciais com a equipe do Drift, começando a partir de 11 de março, e começaram a preparar o ataque, criando contas nonce permanentes na Solana para assinar transações antecipadamente, além de induzir membros do conselho de segurança do Drift a pré-autorizar ações. O golpe fatal ocorreu em 1 de abril, logo após o Drift ajustar o limite de permissões do conselho de segurança e cancelar o mecanismo de bloqueio de tempo. Em apenas 12 minutos, os hackers acionaram 31 ordens de retirada pré-assinadas, esvaziando os fundos. Essa combinação de engenharia social e manipulação técnica é quase impossível de detectar.

O ataque ao Kelp DAO seguiu um padrão diferente. Os hackers identificaram uma vulnerabilidade na arquitetura do protocolo de comunicação cross-chain LayerZero, que utiliza um "verificador único" na ponte, e invadiram a infraestrutura RPC para alterar a lógica de validação. Após forçar o sistema a transferir o controle de validação para um nó sob seu controle, mais de 116 mil rsETH foram roubados. Mesmo com a equipe oficial do Arbitrum congelando alguns ativos em emergência, os hackers rapidamente transferiram os fundos usando protocolos de liquidez cross-chain como o THORChain.

Ainda mais preocupante é a tendência. A proporção de roubos de criptomoedas atribuídos aos hackers norte-coreanos no total global está em ascensão — de menos de 10% em 2020 e 2021, subindo para 22% em 2022, 37% em 2023, 39% em 2024, até atingir 64% em 2025, com um recorde de 76% neste ano. Desde 2017, os hackers norte-coreanos já roubaram mais de 6 bilhões de dólares em criptomoedas.

A TRM aponta que o grande caso de 1,46 bilhão de dólares roubados de uma grande exchange em 2025 marcou um ponto de virada no modus operandi dos hackers norte-coreanos. Depois disso, eles mudaram de tática, deixando de ataques aleatórios e focando em alvos de alto valor, como pontes cross-chain e sistemas de governança multi-sig, buscando eliminar o alvo de uma só vez.

Curiosamente, os casos do Drift e do Kelp DAO também refletem a diversificação nas técnicas de lavagem de dinheiro dos hackers norte-coreanos. Os hackers do caso Drift demonstraram muita paciência, mantendo os fundos na Ethereum por meses ou até anos, planejando talvez esconder o dinheiro até que a atenção se dissipasse, para então vendê-los. Em contrapartida, os hackers do Kelp DAO preferem uma abordagem rápida, trocando os fundos por Bitcoin via THORChain e entregando-os a intermediários de lavagem de dinheiro no mercado negro.

Diante dessa ameaça crescente, a TRM recomenda que as plataformas reforcem imediatamente suas monitorizações de conformidade. As principais estratégias de defesa incluem monitorar rigorosamente os fundos cross-chain que saem via THORChain, fortalecer o rastreamento de transações em infraestruturas de pontes cross-chain, especialmente aquelas envolvendo mecanismos de nonce permanentes, e realizar uma triagem rigorosa das rotas de depósito relacionadas à governança na Solana. Além disso, a indústria deve se envolver ativamente em mecanismos de defesa colaborativa, como a Beacon Network, que permite a detecção rápida de carteiras de hackers norte-coreanos e o acionamento de alertas conjuntos entre plataformas, cortando de vez o fluxo de lavagem de dinheiro. Essa batalha ainda está longe de acabar, e o pesadelo no mundo das criptomoedas continua.