A Coreia do Norte roubou $577M em ataques de cripto até abril de 2026: TRM Labs

Os actores norte-coreanos extraíram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026, representando 76% de todas as perdas globais por roubos de criptomoedas durante o período, segundo a empresa de inteligência blockchain TRM Labs. O roubo foi impulsionado por dois grandes incidentes de abril: o exploit do KelpDAO de 292 milhões de dólares e o ataque ao Drift Protocol de 285 milhões de dólares, que, em conjunto, corresponderam a apenas 3% do total de incidentes de roubo em 2026 até abril.

Detalhes do ataque de abril

O ataque ao Drift Protocol foi atribuído a um subgrupo norte-coreano separado do TraderTraitor, a operação bem documentada afiliada a Lazarus, embora a atribuição específica ainda esteja em investigação. A TRM disse que o ataque envolveu meses de reuniões presenciais entre proxies norte-coreanos e funcionários da Drift. A preparação começou já a 11 de março, quando o atacante criou contas duráveis de nonce na Solana e induziu os subscritores do multisig do Security Council da Drift a pré-autorizar transacções. A 1 de abril, poucos dias depois de a Drift ter migrado o seu Security Council para uma nova configuração de limiar 2/5 sem timelock, o atacante implementou 31 levantamentos pré-assinados para drenar fundos numa fase de execução rápida com duração de cerca de 12 minutos. Os fundos foram mais tarde encaminhados para a Ethereum, onde desde então permaneceram largamente inactivos.

A intrusão no KelpDAO foi atribuída ao TraderTraitor. O ataque explorou um desenho de verificador único numa ponte LayerZero, comprometendo a infraestrutura RPC e manipulando a lógica de validação entre cadeias. Os atacantes drenaram aproximadamente 116.500 rsETH após forçar a falha da verificação para nós comprometidos, com a lavagem subsequente encaminhada através da infraestrutura entre cadeias, incluindo THORChain, na sequência de congelamentos parciais de activos na Arbitrum.

Aceleração histórica do roubo

A TRM reportou que a quota da Coreia do Norte nas perdas globais por roubos de cripto “acelerou”, em vez de estabilizar. A quota subiu de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O roubo acumulado atribuído já excede 6 mil milhões de dólares desde 2017.

A TRM apontou a violação do Bybit no valor de 1,46 mil milhões de dólares em 2025 como um ponto de inflexão-chave no perfil de actividade recente da Coreia do Norte. Desde então, o ritmo operacional manteve-se consistente, com grupos de elite a darem prioridade a menos ataques, mas com maior impacto, visando pontes, sistemas de governação de multisig e infraestruturas entre cadeias.

Abordagens divergentes de lavagem

Os incidentes do Drift e do KelpDAO realçam diferentes estratégias de lavagem de dinheiro. O grupo associado ao Drift deixou activos largamente inactivos após a ponte inicial para a Ethereum e deverá “manter os proventos por meses ou anos e, depois, executar uma saída estruturada, em várias fases”, segundo a TRM.

Os atacantes do KelpDAO movimentaram fundos com mais rapidez através de swaps entre cadeias para Bitcoin via THORChain, com a fase de lavagem em curso a ser tratada maioritariamente por intermediários chineses, e não pelos próprios norte-coreanos.

Prioridades de monitorização de conformidade

A TRM definiu prioridades de monitorização de conformidade, incluindo fluxos ligados ao THORChain a partir de ambientes de pontes comprometidas, rastreio de transacções de múltiplos saltos através da infraestrutura de pontes e filtragem de caminhos de depósitos relacionados com governação na Solana envolvendo transacções duráveis de nonce. A empresa destacou ainda a participação na Beacon Network em bolsas e protocolos DeFi como um mecanismo para acelerar alertas transplataforma assim que endereços associados à Coreia do Norte forem identificados.