As autoridades sul-coreanas estão investigando se o grupo de hackers Lazarus, da Coreia do Norte, orquestrou uma violação de US$ 36 milhões na maior corretora de criptomoedas do país, com o ataque ocorrendo exatamente seis anos após o principal incidente de segurança anterior da plataforma, também atribuído aos mesmos agentes estatais.
Upbit suspendeu depósitos e saques na quinta-feira depois de detectar transferências não autorizadas de aproximadamente 44,5 bilhões de won (US$ 36 milhões) em ativos baseados em Solana de uma hot wallet para endereços externos desconhecidos.
A violação ocorreu às 4h42, horário local, em 27 de novembro, acionando imediatamente protocolos de emergência e um congelamento em toda a plataforma sobre todos os serviços de transação.
Fontes do governo e da indústria disseram à agência Yonhap News que os investigadores que analisam os fluxos das carteiras e vetores de intrusão agora suspeitam que os atacantes tenham comprometido uma conta de administrador ou conseguido se passar por um operador interno – táticas que espelham de perto o incidente de 2019, quando 342.000 ETH, no valor de US$ 50 milhões, foram roubados em um ataque posteriormente ligado ao Lazarus e ao grupo norte-coreano relacionado Andariel.
O que aconteceu
A violação afetou mais de 20 tokens do ecossistema Solana, incluindo SOL, USDC, BONK, Jupiter, Raydium, Render, Orca e Pyth Network. A Dunamu, que opera a Upbit, confirmou os saques não autorizados e prometeu o reembolso integral aos clientes usando as reservas operacionais da corretora. A empresa informou deter 67 bilhões de won em reservas para hacks ou falhas de sistema em setembro, conforme a lei de proteção ao usuário de cripto da Coreia do Sul.
“Identificamos o valor exato dos ativos digitais que foram vazados e cobriremos totalmente a perda com os próprios ativos da Upbit para que os clientes não sejam afetados de nenhuma forma”, disse Oh Kyung-seok, CEO da Dunamu, em comunicado. A corretora transferiu os ativos restantes para cold storage para evitar saques adicionais enquanto as equipes forenses investigavam.
A Upbit congelou aproximadamente 2,3 bilhões de won (US$ 1,6 milhão) em tokens Solayer por meio de medidas on-chain e está coordenando com emissores de tokens para congelar ativos rastreáveis adicionais. Empresas de forense em blockchain identificaram transferências rápidas por múltiplas carteiras e atividades de mistura consistentes com padrões anteriores de lavagem do Lazarus, segundo autoridades de segurança.
“Em vez de atacar o servidor, é possível que os hackers tenham comprometido contas de administradores ou se passado por administradores para realizar a transferência”, disse um funcionário do governo à Yonhap. A abordagem aponta para manipulação direcionada de contas, em vez de um ataque direto à infraestrutura da Upbit, reforçando as comparações com operações anteriores do Lazarus.
Reguladores do Ministério da Ciência e TIC, da Comissão de Serviços Financeiros e de outros órgãos de supervisão iniciaram inspeções presenciais dos sistemas da Upbit, com foco na gestão das chaves das hot wallets e na segurança da rede interna. A corretora afirmou que está realizando uma revisão abrangente de todo o seu sistema de depósito e saque de ativos digitais e retomará os serviços de forma gradual assim que a segurança for confirmada.
A empresa de segurança em blockchain CertiK observou que a velocidade e a escala dos saques se assemelhavam a ataques anteriores relacionados ao Lazarus, embora ainda não possua evidências on-chain definitivas. A empresa acompanhou os fluxos de fundos de mais de 100 endereços exploradores na Solana e continua monitorando os movimentos para rastrear conexões com redes de lavagem associadas ao Lazarus.
O momento do ataque alimentou especulações sobre os motivos dos hackers. A violação ocorreu no mesmo dia em que a Naver Financial, subsidiária da gigante de internet coreana Naver, anunciou um acordo de troca de ações de US$ 10,3 bilhões para adquirir toda a participação da Dunamu. A fusão tornaria a Dunamu uma subsidiária integral e representaria uma das transições corporativas mais importantes no cripto sul-coreano.
“Hackers costumam ter um forte desejo de se exibir”, disse um especialista em segurança à Yonhap, sugerindo que os atacantes podem ter escolhido intencionalmente 27 de novembro para maximizar a atenção durante o anúncio de fusão de alto perfil. A data também marcou o sexto aniversário do hack de 2019 da Upbit, no mesmo dia.
Também leia: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Por que isso importa
A violação da Upbit representa o mais recente episódio em um ano recorde para incidentes de segurança em criptomoedas. As perdas com hacks e exploits ultrapassaram US$ 2,4 bilhões em 2025, com o enorme hack de US$ 1,5 bilhão na corretora Bybit em fevereiro dominando o total. O ataque à Bybit – o maior da história das criptos – também foi atribuído ao Grupo Lazarus da Coreia do Norte.
Segundo a empresa de segurança em blockchain CertiK, o primeiro semestre de 2025 registrou US$ 2,47 bilhões em perdas devido a hacks, golpes e exploits, representando um aumento de quase 3% em comparação com os US$ 2,4 bilhões roubados em todo o ano de 2024. A violação de carteiras surgiu como o vetor de ataque mais custoso, com mais de US$ 1,7 bilhão roubado em 34 incidentes. Ataques de phishing representaram o maior número de incidentes de segurança, com 132 violações e US$ 410 milhões roubados.
O Grupo Lazarus emprega repetidamente uma variedade de táticas, passando de intrusões em corretoras para ataques à cadeia de suprimentos e comprometimento de ambientes de desenvolvimento. O grupo implantou clusters de malware personalizados, iscas de engenharia social e uma infraestrutura massiva de lavagem, direcionando criptomoedas roubadas por mixers e pontes em diferentes redes. Especialistas em segurança observam que a Coreia do Norte, enfrentando escassez de moeda estrangeira, usa criptomoedas roubadas para financiar atividades do regime.
No ataque de 2019 à Upbit, investigadores concluíram que mais da metade do ETH roubado foi lavado por contas em corretoras abertas com identidades falsas, usando métodos típicos do Lazarus, incluindo “wallet hopping” e técnicas de mistura. O grupo já mirou plataformas cripto para maximizar impacto e exposição, sugerindo que ataques podem ser encenados deliberadamente para explorar momentos de atenção pública elevada.
“É a abordagem padrão deles espalhar tokens por várias redes para quebrar o rastreamento”, disse um funcionário de segurança. A provedora de análise em blockchain Dethective informou que carteiras ligadas ao suposto hacker já começaram a mover fundos, indicando que o processo de lavagem teve início.
A violação na Upbit também destaca vulnerabilidades persistentes na infraestrutura de hot wallets, que permanecem conectadas por motivos operacionais. Embora as cold wallets que armazenam a maior parte dos ativos da corretora tenham permanecido seguras, as hot wallets – que lidam com negociações ativas e saques – continuam sendo alvos atraentes para atacantes sofisticados. Mesmo plataformas consolidadas que passaram por diversas auditorias de segurança não foram poupadas, com o hack de US$ 128 milhões ao protocolo Balancer em novembro demonstrando a amplitude do cenário de ameaças.
A capacidade da Upbit de reembolsar totalmente os clientes a partir de reservas operacionais fornece algum alívio, mas o incidente representa um golpe financeiro direto significativo para a corretora e para a Dunamu no momento em que navegam a integração com a Naver Financial. A fusão vinha sendo apresentada como um movimento estratégico para investir 10 trilhões de won em cinco anos no desenvolvimento de infraestrutura de tecnologia de IA e Web3 na Coreia do Sul. O hack, ocorrido poucas horas após o anúncio da aquisição, cria um pano de fundo constrangedor para a nova entidade combinada.
As autoridades continuam rastreando os ativos roubados por meio de análise on-chain enquanto realizam revisões forenses da infraestrutura de segurança da Upbit. A corretora não forneceu um cronograma para retomar serviços de depósito e saque, embora auditorias de segurança após incidentes dessa magnitude normalmente exijam vários dias ou mais, dependendo das conclusões.
Leia a seguir: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users