No sábado, 18 de abril, uma ponte cross-chain operada pela Kelp DAO quietly bled 116,500 rsETH. Na segunda-feira, a LayerZero had a name for the attackers. Não era um nome novo.
O Lazarus Group da Coreia do Norte já não é apenas um rótulo de hackers no mercado cripto. É a prova mais clara de que operações cibernéticas estatais transformaram ativos digitais em um canal estratégico de financiamento, em que as maiores violações da indústria agora se parecem menos com bugs isolados e mais com derrotas operacionais de longo ciclo.
- A LayerZero atribui o exploit da Kelp DAO em 18 de abril de 2026, de cerca de US$ 292 milhões em tokens derivativos de Ether (eth), ao Lazarus Group da Coreia do Norte e à sua subunidade TraderTraitor.
- A Chainalysis afirma que agentes ligados à RPDC roubaram US$ 2,02 bilhões em cripto em 2025, elevando o total acumulado para US$ 6,75 bilhões.
- O padrão aponta para guerra operacional patrocinada por Estado, e não para bugs isolados em smart contracts, como a principal ameaça de segurança do setor.
O golpe na Kelp e por que a atribuição importa
A LayerZero pinned a drenagem da Kelp DAO a um agente estatal em seu post-mortem de 20 de abril. A declaração a classificou como o maior exploit DeFi de 2026 e apontou “um agente estatal altamente sofisticado, provavelmente o Lazarus Group da RPDC, mais especificamente o TraderTraitor”.
O mecanismo não foi um bug de smart contract. Os atacantes comprometeram dois nós de chamada de procedimento remoto (RPC) usados pela Decentralized Verifier Network da LayerZero e, em seguida, lançaram um ataque de negação de serviço contra os nós íntegros para forçar o failover para os nós contaminados.
Isso deixou a configuração de verificador 1-de-1 da Kelp carimbando uma mensagem cross-chain fraudulenta, e a ponte liberou 116.500 rsETH para o invasor.
A Kelp paused contratos centrais via seu multisig de emergência cerca de 46 minutos depois, bloqueando duas tentativas subsequentes de drenagem, que somariam outros US$ 100 milhões.
A Kelp contestou publicamente a narrativa da LayerZero, alegando que a configuração de verificador único refletia o padrão documentado pela própria LayerZero, não a desobediência a uma recomendação explícita.
A atribuição é o que transforma isso de um incidente de “corrigir e seguir em frente” em outra coisa. Um bug convida um patch. Um agente estatal significa um adversário permanente.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Quem de fato é o Lazarus
O FBI placed o cluster TraderTraitor dentro do aparato cibernético estatal da Coreia do Norte em seu comunicado de 26 de fevereiro de 2025 sobre o roubo da Bybit, nomeando-o como o operador direto de um assalto de US$ 1,5 bilhão em ativos virtuais.
Reportagens da Reuters em 2022 e sanções repetidas do Tesouro dos EUA tied Lazarus, Bluenoroff e Andariel ao Reconnaissance General Bureau, principal agência de inteligência militar de Pyongyang.
Dentro dessa estrutura, analistas acompanham um conjunto rotativo de apelidos — APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor — que frequentemente compartilham pessoal e infraestrutura.
A consequência para o cripto é direta.
Quando uma violação é atribuída ao “Lazarus”, não se trata de um adolescente em um porão, e raramente é um contratado solitário. É uma unidade estatal com orçamento, mandato e um horizonte de paciência medido em anos, não em semanas.
Isso muda o que conta como defesa crível. Também muda quem, ao fim da cadeia de lavagem, acaba se beneficiando.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
De Sony a smart contracts
O Lazarus não começou no cripto. Apresentou-se com o ataque wiper à Sony Pictures em 2014, depois com o assalto via SWIFT ao Bangladesh Bank em 2016 e, em 2017, com o WannaCry.
O cripto veio em seguida — e rápido.
O Serviço Nacional de Inteligência da Coreia do Sul told à Associated Press, em dezembro de 2022, que hackers norte-coreanos haviam roubado cerca de US$ 1,2 bilhão em ativos virtuais ao longo de cinco anos.
Um relatório do Painel de Especialistas da ONU revealed 58 ataques cibernéticos suspeitos da RPDC entre 2017 e 2023, avaliados em cerca de US$ 3 bilhões e destinados a alimentar os programas de armas de destruição em massa de Pyongyang.
As últimas cifras da Chainalysis elevam ainda mais essa linha acumulada: US$ 6,75 bilhões em roubos de cripto ligados à RPDC identificados até o momento, com US$ 2,02 bilhões apenas em 2025.
A trajetória é a história. Cada ano traz menos incidentes, mas maiores. A indústria ficou mais rica, os alvos ficaram maiores e o Lazarus escalou junto.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Os maiores assaltos ligados ao Lazarus
O Tesouro dos EUA updated suas sanções ao Lazarus com endereços de carteira ligados à drenagem da Ronin Bridge em março de 2022, atribuindo cerca de US$ 625 milhões em perdas a agentes da RPDC.
Uma lista curta mostra a escala:
- Ronin Network, mar. 2022: aproximadamente US$ 625 milhões drenados da ponte sidechain do Axie Infinity, atribuídos ao Lazarus pelo OFAC do Tesouro dos EUA semanas depois.
- Harmony Horizon, jun. 2022: cerca de US$ 100 milhões roubados, formalmente atribuídos ao Lazarus e à APT38 pelo FBI em janeiro de 2023.
- WazirX, jul. 2024: cerca de US$ 235 milhões retirados da corretora indiana em um comprometimento de multisig amplamente atribuído a agentes ligados à RPDC.
Então veio o ano de virada.
A DMM Bitcoin perdeu 4.502,9 Bitcoin (btc), avaliados em cerca de US$ 308 milhões à época, em maio de 2024. O FBI, o Departamento de Defesa e a Agência Nacional de Polícia do Japão confirmed o vínculo com o TraderTraitor em dezembro, descrevendo uma isca com tema de recrutador que comprometeu um fornecedor de software de carteira e terminou em um saque manipulado.
Bybit, em fevereiro de 2025, foi o pico.
Um invasor mascarou a interface de assinatura durante uma transferência rotineira de cold wallet e redirecionou cerca de 400.000 Ether, avaliados em aproximadamente US$ 1,5 bilhão, para um endereço desconhecido.
A Chainalysis agora atribui a esse único incidente US$ 1,5 bilhão dos US$ 3,4 bilhões roubados em todo o setor em 2025. A Kelp, com US$ 292 milhões, é o capítulo mais recente, não o mais barulhento. É como se parece uma operação madura quando deixa de precisar de espetáculo.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
O playbook do Lazarus mudou
O FBI e o Japão detailed o novo modelo do Lazarus em seu comunicado conjunto sobre a DMM Bitcoin. A velha imagem do Lazarus como uma fábrica de phishing ficou obsoleta.
Um hacker se passou por recrutador do LinkedIn. Um falso teste pré-emprego plantou um script Python malicioso no GitHub pessoal de um engenheiro da Ginco, fornecedora de software de carteira. Cookies de sessão roubados abriram o chat interno da Ginco e, semanas depois, um pedido legítimo de transação da DMM foi silenciosamente reescrito em trânsito.
Na Bybit, a Safe{Wallet} confirmed que aplicativos de assinatura modificados por malware exibiam o destino correto enquanto alteravam a lógica do smart contract por baixo. Na Kelp, a LayerZero afirma que invasores trocaram binários justamente nos nós RPC em que um verificador confiava, projetados para se autodestruir e limpar logs locais após o uso.
O fio condutor é que o código raramente é a vulnerabilidade. As pessoas, os fornecedores, os pipelines de build e as hospedagens de infraestrutura é que são.
A Chainalysis também apontou um canal paralelo: operadores da RPDC se infiltrando em empresas cripto como funcionários de TI remotos com identidades falsas, às vezes usando colaboradores recrutados via Upwork e Freelancer para ganhar escala.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Por que o Lazarus continua voltando ao cripto
O motivo da Coreia do Norte é sobrevivência econômica, não ideologia.
Reportagens da AP e da ONU consistentemente describe o roubo de cripto como uma fonte de receita substituta para uma economia sob sanções e como financiamento direto para programas de mísseis balísticos e armas nucleares.
Autoridades dos EUA citadas pela AP foram além, estimando que o cibercrime hoje responde por quase metade das receitas em moeda forte da Coreia do Norte.
O cripto é, por acaso, o alvo quase perfeito para essa missão. Transações liquidam com finalidade em minutos, não dias, portanto não há banco correspondente para revertê-las. A liquidez é profunda, o pseudonimato é barato e trilhos cross-chain movem valor mais rápido do que qualquer órgão de fiscalização consegue congelá-lo.
O Yahoo Finance noted, citando a própria linha do tempo da LayerZero sobre a Kelp, que o invasor consolidou cerca de 74.000 Ether após a drenagem e havia pré-financiado carteiras via Tornado Cash cerca de dez horas antes do ataque.
Para um governo que pesa entre assaltar um banco ou uma ponte, a ponte vence. every time.
Also Read: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
O que os investigadores on-chain realmente acrescentaram
A Arkham creditou o investigador pseudônimo ZachXBT com “prova definitiva” ligando o exploit da Bybit ao Lazarus por meio de transações de teste, carteiras conectadas e análises de timing, em sua postagem de recompensa de 21 de fevereiro de 2025.
Cinco dias depois, o comunicado de utilidade pública do FBI nomeou formalmente a Coreia do Norte, usando o rótulo TraderTraitor e publicando listas de bloqueio de carteiras.
A ordem importa. Investigadores on-chain como ZachXBT frequentemente têm sido os primeiros a conectar publicamente grandes violações a carteiras e padrões de lavagem ligados ao Lazarus, às vezes antes da confirmação oficial.
Eles não são a fonte central da verdade. São uma camada inicial de atribuição pública que acelera a resposta no nível das exchanges enquanto agências federais conduzem processos mais lentos, em padrão de evidência.
Essa divisão de trabalho é nova. E também é estrutural, porque, uma vez que fundos roubados começam a saltar entre cadeias, a única questão é com que rapidez os endereços são sinalizados.
Also Read: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Por que o setor ainda perde essas disputas
A maior parte dos debates sobre segurança em cripto ainda se concentra em auditorias de código. O Lazarus não se importa com auditorias.
A superfície de ataque que realmente importa é operacional. Ela inclui ferramentas de assinatura de terceiros, fornecedores de carteiras, infraestrutura de nodes, pipelines de recrutamento, sistemas de build e um pequeno grupo de pessoas com acesso privilegiado. Cada um desses elementos esteve presente em pelo menos uma violação ligada ao Lazarus nos últimos dois anos.
A Chainalysis relata um segundo problema estrutural: o ciclo de lavagem foi refinado em um padrão de aproximadamente 45 dias e três ondas, que empurra fundos roubados por mixers, pontes cross-chain e redes OTC em língua chinesa, movendo parcelas em blocos geralmente mantidos abaixo de US$ 500.000 para evitar acionar monitoramentos.
A resposta da indústria continua fragmentada. Exchanges colocam endereços em listas negras em velocidades diferentes. Alguns protocolos DeFi pausam, outros não.
Uma análise da Dune após o incidente constatou que 47% dos OApps ativos da LayerZero ainda operavam com configurações de DVN 1-de-1.
O defensor precisa vencer toda semana. O Lazarus só precisa vencer uma vez por trimestre.
Also Read: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
O que o caso Kelp sinaliza sobre a próxima fase
A conclusão desconfortável do caso Kelp é que, mesmo depois de Bybit, o fosso entre segurança de código e segurança operacional continua amplo.
Bybit foi um comprometimento da interface de assinatura com um balanço de US$ 20 bilhões por trás. Kelp foi um comprometimento na camada de infraestrutura contra um protocolo de restaking líquido de porte médio.
Mesmo cluster de atores, vetor de ataque diferente, dezoito dias depois do drain do Drift Protocol de cerca de US$ 285 milhões, também ligado a operativos da RPDC.
Essa cadência é o ponto. O Lazarus está iterando seu playbook mais rápido do que as equipes DeFi estão fortalecendo suas dependências, e cada golpe bem-sucedido financia a próxima rodada de recrutamento, ferramental e paciência.
O Hacker News noticiou que atores ligados à RPDC responderam por 59% de todo o cripto roubado globalmente em 2025, o que reforça o quão central esse adversário se tornou para as perdas do setor.
Escolhas de configuração como setups de verificador único, operadores de node não auditados e softwares de carteira compartilhados deixaram de ser itens de risco menores. Em um mundo em que o adversário é um Estado, eles são o evento principal.
Also Read: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Conclusão
Lazarus é a prova de que as maiores falhas de segurança em cripto agora são geopolíticas, financeiras e de infraestrutura ao mesmo tempo.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit e agora Kelp não formam uma lista de acidentes sem relação. Formam uma campanha, conduzida por um governo sancionado contra um setor que ainda subestima como se parece um adversário persistente de nível estatal.
O próximo caso Kelp já está sendo planejado. A questão é se o setor o tratará como um bug report ou como uma linha de frente.
Read Next: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
O que aconteceu no hack da Kelp DAO?
Em 18 de abril de 2026, invasores drenaram 116.500 rsETH, no valor de aproximadamente US$ 292 milhões, de uma ponte cross-chain operada pela Kelp DAO. O exploit não mirou um bug de smart contract. Em vez disso, os atacantes comprometeram dois nodes de chamada de procedimento remoto usados pela Decentralized Verifier Network da LayerZero e então forçaram um failover para que um node envenenado carimbasse uma mensagem cross-chain fraudulenta. A multisig de emergência da Kelp pausou os contratos centrais 46 minutos depois, bloqueando duas tentativas subsequentes de drenagem que somariam mais US$ 100 milhões.
Quem é o Lazarus Group?
Lazarus é o rótulo guarda-chuva para atores cibernéticos ligados ao Estado norte-coreano, associados pelo Tesouro dos EUA e pelo FBI ao Reconnaissance General Bureau, a principal agência de inteligência militar de Pyongyang. Analistas rastreiam vários subclusters e aliases sob o mesmo guarda-chuva, incluindo TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet e Slow Pisces. Esses clusters frequentemente compartilham infraestrutura e pessoal.
Por que a LayerZero atribuiu o exploit da Kelp ao Lazarus?
O post-mortem da LayerZero apontou a perícia operacional do atacante e o comportamento das carteiras como marcas de um ator estatal, especificamente a subunidade TraderTraitor do Lazarus. O pré-financiamento via Tornape Cash cerca de dez horas antes do ataque, o uso de binários autodestrutivos na infraestrutura comprometida e a consolidação, após o drain, de cerca de 74.000 Ether correspondem a padrões documentados em exploits anteriores ligados à RPDC.
Quanto cripto a Coreia do Norte já roubou no total?
A Chainalysis identifica US$ 6,75 bilhões em roubos de cripto ligados à RPDC até o momento. Desse total, US$ 2,02 bilhões foram roubados apenas em 2025, o que representou aproximadamente 59% de todo o cripto roubado globalmente naquele ano. Relatos anteriores do Serviço Nacional de Inteligência da Coreia do Sul estimaram o total de cinco anos até 2022 em cerca de US$ 1,2 bilhão, enquanto um Painel de Especialistas da ONU investigou 58 supostos ciberataques da RPDC entre 2017 e 2023, avaliados em cerca de US$ 3 bilhões.
O que é TraderTraitor?
TraderTraitor é um subcluster do Lazarus especializado em alvos da indústria cripto. Seu movimento característico é a engenharia social contra equipes técnicas, frequentemente por meio de falsas abordagens de recrutadores no LinkedIn, testes pré-emprego carregados de malware e comprometimento de fornecedores de software de carteiras ou de infraestrutura de assinatura. O FBI, o Departamento de Defesa e a Agência Nacional de Polícia do Japão nomearam formalmente o TraderTraitor no roubo de US$ 308 milhões da DMM Bitcoin, e o FBI depois o citou novamente como operador do roubo de US$ 1,5 bilhão da Bybit.
Quais são os maiores hacks de cripto ligados ao Lazarus?
Os maiores incidentes publicamente atribuídos incluem a Ronin Network em março de 2022, com cerca de US$ 625 milhões; Harmony Horizon em junho de 2022, com cerca de US$ 100 milhões; WazirX em julho de 2024, com aproximadamente US$ 235 milhões; DMM Bitcoin em maio de 2024, com cerca de US$ 308 milhões; Bybit em fevereiro de 2025, com aproximadamente US$ 1,5 bilhão; e Kelp DAO em abril de 2026, com cerca de US$ 292 milhões.
Como o Lazarus lava o cripto roubado?
A Chainalysis descreve um ciclo de lavagem refinado de aproximadamente 45 dias em três ondas. Os fundos roubados passam por mixers, pontes cross-chain e redes OTC em língua chinesa, muitas vezes divididos em parcelas mantidas abaixo de US$ 500.000 para evitar ultrapassar limiares de monitoramento. O objetivo é superar as listas de bloqueio de exchanges e as análises on-chain antes que os fundos cheguem a pontos de saque.
Por que a Coreia do Norte mira cripto?
O roubo de cripto funciona como uma fonte de receita para evasão de sanções na economia isolada de Pyongyang e como financiamento direto para seus programas de mísseis balísticos e armas nucleares, segundo relatórios de um Painel de Especialistas da ONU e autoridades dos EUA citadas pela AP. Estimativas dos EUA sugerem que o cibercrime agora responde por perto de metade das receitas em moeda forte da Coreia do Norte. Os trilhos cripto se prestam à missão porque transações liquidam com finalidade em minutos e não podem ser revertidas por um banco correspondente.
Quem é ZachXBT e qual foi o papel dele?
ZachXBT é um investigador on-chain pseudônimo cujo trabalho de atribuição pública repetidamente antecedeu confirmações formais de governos. No caso da Bybit, a postagem de recompensa da Arkham de 21 de fevereiro de 2025 o creditou pela análise de vinculação de transações que conectou o exploit ao Lazarus, cinco dias antes de o FBI nomear formalmente a Coreia do Norte. Investigadores on-chain como ZachXBT formam uma camada inicial de atribuição pública; não substituem investigadores federais, mas oferecem uma resposta mais rápida no nível das exchanges.
O setor cripto consegue parar o Lazarus?
Não apenas com auditorias de código. A superfície de ataque que importa é operacional, incluindo ferramentas de assinatura de terceiros, fornecedores de carteiras, infraestrutura de nodes, pipelines de recrutamento e sistemas de build. Uma análise da Dune após o incidente da Kelp constatou que 47% dos OApps ativos da LayerZero ainda operavam com setups de verificador 1-de-1, exatamente a configuração que possibilitou o exploit da Kelp. Reforçar essa camada — em fornecedores, hosts de infraestrutura e acesso humano — é onde os ganhos defensivos agora se concentram.
A Kelp DAO é segura para usar agora?
A Kelp pausou os contratos centrais por meio de sua emergência multisig dentro de 46 minutos após a detecção, o que bloqueou duas tentativas adicionais de drenagem. Os usuários devem verificar os canais oficiais de incidentes da Kelp e da LayerZero para saber o status atual do contrato, qualquer programa de recuperação ou reembolso e configurações atualizadas de verificadores antes de retomar a atividade.
Qual é a diferença entre Lazarus e TraderTraitor?
Lazarus é o guarda-chuva. TraderTraitor é um subcluster especializado dentro desse guarda-chuva, focado em alvos da indústria de cripto e conhecido por engenharia social contra engenheiros e fornecedores de software de carteiras. Quando o FBI atribui um ataque especificamente ao TraderTraitor, está nomeando a unidade operacional, não apenas o ecossistema mais amplo vinculado ao Estado.