Um único Estado-nação acabou de abocanhar dois terços de cada dólar roubado do ecossistema global de criptomoedas no primeiro semestre de 2026.
Isso não é erro de arredondamento. Não é o efeito de um único roubo espetacular.
É o produto de uma operação de hacking sustentada e industrializada — que passou quase uma década refinando seus métodos e agora supera, sozinha, todos os outros agentes de ameaça no setor somados.
A escala é impressionante mesmo para os padrões do crime cripto, que nunca careceu de números dramáticos.
Grupos ligados à Coreia do Norte responderam por 66,2% das perdas globais de ativos digitais em hacks no primeiro semestre de 2026, segundo números que circularam entre pesquisadores de segurança em blockchain esta semana.
Essa concentração de perdas em um único agrupamento de ameaça marca uma mudança qualitativa no perfil de risco de toda a indústria. E chega em um momento em que o capital institucional flui para cripto em seu ritmo mais rápido desde 2021.
Resumo rápido
- Hackers ligados à Coreia do Norte capturaram 66,2% de todas as perdas em hacks de criptomoedas na primeira metade de 2026, representando um novo pico de concentração em roubo cripto patrocinado por Estado.
- O Lazarus Group e unidades associadas da RPDC evoluíram de hacks oportunistas contra exchanges para operações altamente estruturadas visando protocolos DeFi, pontes cross-chain e engenharia social de desenvolvedores.
- Os recursos financiam diretamente os programas de armas da Coreia do Norte, tornando a segurança em cripto uma questão geopolítica que reguladores em Washington, Bruxelas e Seul agora tratam com urgência.
O número de 66% e o que ele realmente mede
Antes de destrinchar o quadro estratégico, a metodologia por trás desse número merece escrutínio.
A cifra de 66,2% se refere à fatia do total de perdas confirmadas em hacks de criptomoedas atribuível a carteiras ligadas à RPDC no primeiro semestre de 2026 — com base em análises on-chain que rastreiam fluxos de fundos desde o roubo inicial, passando pelo uso de mixers até a conversão final em dinheiro.
A Chainalysis, que publica os dados longitudinais mais abrangentes sobre crime cripto, relatou em seu Relatório de Crime de 2024 que grupos ligados à Coreia do Norte roubaram aproximadamente US$ 1,34 bilhão em 47 incidentes em 2023 — 61% do valor total roubado naquele ano.
O número do 1º semestre de 2026 representa uma concentração ainda maior. Ele sugere que a distância entre as capacidades da RPDC e as de todos os outros agentes de ameaça está se ampliando, não diminuindo.
Esses 66,2% constituem a maior concentração já registrada de roubo estatal de ativos digitais em um único período de seis meses.
É importante notar o que o número de 66% não captura.
Ele exclui “exit scams”, rug pulls e fraudes — que a Chainalysis normalmente classifica separadamente de hacks. O denominador considera apenas perdas confirmadas em hacking.
Incluir todas as categorias de crime cripto reduziria a participação percentual da RPDC. Mas não diminuiria o valor absoluto em dólares roubado.
Leia também: Demanda à vista por XRP sobe enquanto perps da Binance emitem alerta de US$ 783 milhões
Como o Lazarus Group se tornou uma superpotência em cripto
O Lazarus Group — a designação guarda-chuva usada por agências de inteligência dos EUA e pesquisadores privados para as unidades cibernéticas mais capazes da RPDC — não começou como uma operação focada em cripto.
Seu perfil inicial envolvia ataques destrutivos, roubos a bancos por meio da exploração da rede SWIFT e ransomware.
A guinada para cripto foi gradual. Ganhou força por volta de 2017, quando o grupo mirou exchanges sul-coreanas — e depois se intensificou acentuadamente após a violação da Ronin Network em 2022.
O hack da Ronin, no qual o Lazarus Group roubou aproximadamente US$ 625 milhões da sidechain da Axie Infinity, foi um ponto de inflexão estratégico.
Ele mostrou que a infraestrutura DeFi — com sua complexidade de contratos inteligentes, dependências de pontes cross-chain e vulnerabilidades de engenharia social de desenvolvedores — oferecia uma superfície de ataque muito mais lucrativa do que as exchanges centralizadas, que haviam endurecido suas defesas após uma década de violações.
Esse roubo de US$ 625 milhões em março de 2022 continua sendo o maior hack DeFi já registrado. Ele serviu como modelo operacional para as campanhas subsequentes de cripto da RPDC.
Desde 2022, o grupo vem refinando sistematicamente três vetores de ataque.
O primeiro é a violação de credenciais de desenvolvedores — geralmente por meio de falsas propostas de trabalho no LinkedIn que instalam malware quando o alvo abre um documento ou executa um repositório.
O segundo são explorações de pontes cross-chain, que miram a lógica de contratos inteligentes que validam transferências de ativos entre redes.
O terceiro são ataques à cadeia de suprimentos contra dependências de software usadas por protocolos cripto — técnica inicialmente popularizada na cibersegurança tradicional, agora adaptada a alvos em blockchain.
Leia também: Eng vs Ind já não é só críquete para traders de mercados de previsão
O alvo mudou de exchanges para DeFi
A história inicial dos grandes hacks de cripto foi escrita por violações de exchanges centralizadas. Mt. Gox em 2014, Bitfinex em 2016, Coincheck em 2018. Esses ataques se baseavam em comprometer infraestrutura de hot wallets, explorar vulnerabilidades de APIs ou corromper insiders. Os autores eram, em geral, grupos criminosos oportunistas, não atores estatais com respaldo institucional.
O manual atual da RPDC é fundamentalmente diferente. A TRM Labs, em seu relatório 2024 Crypto Threat Intelligence, constatou que a parcela do total de roubos cripto da RPDC atribuível a explorações de protocolos DeFi — em vez de hacks de exchanges centralizadas — subiu de cerca de 30% em 2021 para mais de 70% em 2024. Essa mudança acompanha o próprio crescimento da liquidez on-chain.
O valor total bloqueado (TVL) em protocolos DeFi globalmente atingiu um pico acima de US$ 180 bilhões no fim de 2021, caiu acentuadamente durante o mercado de baixa de 2022 e, desde então, se recuperou para níveis que novamente representam um alvo atraente. Dados da DefiLlama (https://defillama.com/) em meados de 2026 mostram um TVL total em DeFi acima de US$ 110 bilhões em todas as redes, com pontes cross-chain controlando uma fatia desproporcional desse valor de forma agregada.
Contratos de pontes DeFi são alvos estruturalmente atrativos para atacantes sofisticados porque concentram grandes pools de liquidez em contratos inteligentes únicos, ao mesmo tempo em que exigem validação complexa de mensagens entre cadeias, algo difícil de auditar completamente.
As pontes cross-chain se tornaram uma obsessão específica para as unidades da RPDC por causa de sua topologia de risco única. Um contrato de ponte precisa confiar em afirmações vindas de uma cadeia remota que ele não pode verificar de forma nativa. A lógica de validação é complexa, muitas vezes baseada em um comitê multisig ou em uma prova de light client. Qualquer uma das abordagens cria premissas exploráveis. A ponte Ronin usava um multisig nove-de-nove que, na prática, foi reduzido a um limiar de cinco-de-nove via engenharia social. Esse limiar de cinco assinaturas foi então alcançado pelos atacantes, autorizando saques que esvaziaram a ponte.
Leia também: Fable 5 vale o dobro do preço quando Opus 4.8 ainda entrega?
O vetor da falsa proposta de emprego e o alvo nos desenvolvedores
O elemento mais consistente e subestimado da campanha da RPDC no 1º semestre de 2026 é a infraestrutura de engenharia social que mira desenvolvedores e funcionários de protocolos individualmente. Isso não é um hack técnico no sentido tradicional. É uma operação de inteligência baseada em relacionamento, paciente, que culmina em execução de código.
O roteiro padrão, documentado em detalhes pela Mandiant em sua análise de ameaça financeira do APT38 e pela Agência de Segurança Cibernética e de Infraestrutura dos EUA no Alerta CISA AA22-108A, envolve operativos da RPDC criando perfis profissionais convincentes no LinkedIn, muitas vezes usando fotos de perfil geradas por IA. Eles abordam desenvolvedores que trabalham em protocolos cripto, oferecendo trabalho como contratados, entrevistas de emprego ou oportunidades de revisão de código.
Em casos documentados, operativos da RPDC mantiveram relações no LinkedIn com desenvolvedores de cripto-alvo por semanas ou meses antes de entregar um payload de malware, construindo confiança por meio de conversas tecnicamente credíveis sobre a base de código específica do alvo.
Quando o alvo engaja, o atacante eventualmente envia um arquivo que precisa ser executado. Pode ser um PDF com payload embutido, um repositório no GitHub contendo uma dependência maliciosa ou um falso teste técnico que instala uma porta dos fundos. Uma vez que o atacante obtém acesso à máquina do desenvolvedor, pode coletar chaves privadas, tokens de sessão de sistemas internos e credenciais de infraestrutura em nuvem usada para gerenciar implantações de protocolos.
A sofisticação desse modus operandi reflete um investimento institucional em desenvolvimento de capacidades que nenhum grupo criminoso privado consegue replicar. As unidades cibernéticas da RPDC são funcionários do Estado que treinam em tempo integral, atuam sob disciplina de segurança operacional e acumulam, ao longo de anos, conhecimento institucional sobre quais protocolos são mais vulneráveis e quais desenvolvedores são mais acessíveis.
Leia também: Ações da TeraWulf disparam enquanto acordo com a Anthropic redefine mineradora de Bitcoin em pivot de IA de US$ 19 bi
A infraestrutura de lavagem por trás dos números de roubo
Roubar criptomoedas é apenas o primeiro passo. Convertê-las em receita utilizável para o regime exige uma cadeia de lavagem elaborada, que por si só se tornou objeto de intensa pesquisa on-chain. O movimento dos fundos após o roubo é onde investigadores mais frequentemente atribuem ataques à RPDC, porque o grupo tem padrões comportamentais identificáveis. padrões em como eles movem e ocultam fundos.
A Chainalysis documentou o fluxo padrão de lavagem da RPDC como um processo em múltiplas etapas. Os ativos roubados são primeiro convertidos em Ethereum (ETH) ou Bitcoin (BTC) usando exchanges descentralizadas on-chain, transformando tokens específicos de protocolos pouco líquidos em ativos mais líquidos. Esses ativos então passam por serviços de mixing, com o grupo utilizando historicamente o Tornado Cash até sua sanção pela OFAC em agosto de 2022, o que forçou uma adaptação para ferramentas alternativas de ofuscação, incluindo Sinbad e Yomix, ambas também posteriormente alvo de sanções dos EUA.
A OFAC sancionou o mixer Sinbad em novembro de 2023 e o mixer Yomix em abril de 2025, demonstrando uma dinâmica de gato e rato em que cada ferramenta de lavagem da RPDC acaba enfrentando ações sancionatórias que empurram o grupo para novas infraestruturas.
Após o mixing, os fundos são roteados por uma rede de contas aninhadas em exchanges, corretores OTC operando em jurisdições sem aplicação efetiva de normas de AML e plataformas peer-to-peer. A via de saída mais comumente usada historicamente tem sido exchanges que operam no Leste e Sudeste Asiático com exigência limitada de KYC. Um relatório de 2024 do Painel de Especialistas das Nações Unidas sobre a Coreia do Norte identificou especificamente os rendimentos de roubos de cripto como uma fonte primária de financiamento para o programa de mísseis balísticos da RPDC, estimando que a receita de cripto financiou aproximadamente 40% das necessidades de moeda estrangeira para o desenvolvimento de armas de destruição em massa.
Leia também: Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan
A Resposta Regulatório e Seus Limites
O governo dos EUA implantou um conjunto substancial de ferramentas contra as operações de cripto da RPDC, incluindo designações da OFAC de carteiras e serviços de mixing, comunicados de atribuição do FBI para hacks específicos e avisos conjuntos com agências de inteligência aliadas. O Departamento de Justiça indiciou múltiplos operativos nomeados da RPDC, embora a persecução penal seja efetivamente impossível dada a ausência de vias de extradição.
A limitação da resposta dos EUA é estrutural. Sanções sobre endereços de carteira são eficazes apenas contra atores que usam infraestrutura financeira regulada como via de saída. Elas têm efeito mínimo sobre atores sofisticados que roteiam por jurisdições fora do alcance das normas de AML dos EUA. A ação da OFAC contra o Tornado Cash foi significativa e contestada, mas a RPDC se adaptou em poucos meses, migrando para infraestruturas alternativas.
O Departamento de Justiça denunciou sete hackers militares nomeados da RPDC em conexão com operações de roubo de cripto, mas nenhum enfrentou julgamento. As acusações funcionam principalmente como ferramentas de atribuição e como fatores de dissuasão para serviços de terceiros que, de outra forma, poderiam facilitar a movimentação de fundos.
O Grupo de Ação Financeira Internacional (GAFI/FATF), o organismo intergovernamental de padrões de AML, elevou a Coreia do Norte para sua categoria de maior risco e mantém um apelo permanente para que jurisdições-membro apliquem diligência reforçada em quaisquer transações com nexo com a RPDC. Mas as recomendações do FATF não são vinculantes, e as jurisdições mais úteis para a RPDC na conversão de cripto em moeda fiduciária geralmente não são membros do FATF ou são membros com histórico fraco de implementação.
O Markets in Crypto-Assets Regulation (MiCA) da UE, que entrou em vigor plenamente no fim de 2024, inclui exigências de “travel rule” que tornam mandatória a identificação de contraparte para transferências de cripto acima de certos limiares. Defensores argumentam que isso fecha alguns canais de saída via OTC. Críticos observam que as operações da RPDC são sofisticadas o suficiente para contornar exigências de KYC usando carteiras não hospedadas e jurisdições fora do alcance da UE.
Leia também: Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art
O Que as Análises On-Chain Realmente Mostram
A atribuição de roubos de cripto à Coreia do Norte não é uma afirmação política. Ela se baseia em dados on-chain verificáveis, que podem ser reproduzidos de forma independente por qualquer pesquisador com acesso a dados públicos de blockchain e ferramentas de clusterização de carteiras. Entender como essa atribuição funciona é essencial para avaliar sua credibilidade.
Quando a RPDC rouba de um protocolo, a transação inicial fica imediatamente visível on-chain. Os fundos roubados se movem para carteiras controladas pelo atacante, que então executam uma sequência de swaps, transações de bridge e operações de mixing. A Elliptic, outra empresa de análise de blockchain, publicou uma metodologia detalhada mostrando que as carteiras da RPDC se agrupam em torno de assinaturas comportamentais, incluindo padrões específicos de tempo, rotas de swap preferenciais, quantias características de “dust” deixadas em carteiras intermediárias e uma tendência a manter fundos roubados em clusters de carteiras por períodos prolongados antes de movê-los.
A análise de clusterização de carteiras da Elliptic identificou mais de 15.000 endereços associados a operações de roubo da RPDC, criando um grafo de carteiras interconectadas que analistas forenses usam para rastrear fluxos de fundos mesmo após o mixing.
Os comunicados de atribuição do FBI para hacks específicos, incluindo a violação da Alphapo e o exploit da Atomic Wallet em 2023, baseiam-se nessa metodologia forense combinada com inteligência de sinais classificada.
A combinação de dados públicos on-chain e inteligência governamental produziu níveis de confiança em atribuição que superam o que é típico em investigações de cibercrime tradicional, nas quais evidências on-chain não existem.
Leia também: Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive
O Esquema de Trabalhadores de TI Como Canal Paralelo de Receita
Separadamente das operações de hack, a RPDC conduz um programa paralelo de geração de receita em cripto que recebeu atenção significativa das autoridades em 2024 e 2025. Milhares de cidadãos norte-coreanos, operando sob identidades falsas usando documentação gerada por IA e tecnologia de vídeo deepfake, conseguiram empregos remotos em empresas de cripto e startups Web3 na América do Norte e na Europa.
O Departamento de Justiça indiciou quatorze indivíduos em maio de 2024 por operar um esquema que colocou trabalhadores de TI norte-coreanos em mais de 300 empresas dos EUA, com os ganhos sendo direcionados de volta à RPDC.
A acusação alegou que trabalhadores individuais ganhavam entre US$ 250.000 e US$ 300.000 por ano, com o esquema total gerando dezenas de milhões de dólares ao longo de vários anos.
A denúncia de maio de 2024 do DOJ documentou trabalhadores de TI norte-coreanos ganhando até US$ 300.000 por ano cada em empresas de cripto e tecnologia dos EUA, com fundos remetidos à RPDC por meio de uma rede de facilitadores nos EUA, Reino Unido e China.
O esquema de trabalhadores de TI é particularmente insidioso para a indústria cripto porque planta acessos internos dentro das equipes de desenvolvimento. Um trabalhador de TI com credenciais legítimas e acesso a repositórios é mais perigoso do que um atacante externo tentando penetrar defesas de perímetro.
Vários pesquisadores de segurança notaram que padrões suspeitos em commits de código, acessos a repositórios sem explicação e horários de trabalho incomuns agora são tratados como potenciais indicadores de trabalhadores de TI da RPDC por empresas de cripto com maior consciência de segurança.
A interseção entre o esquema de trabalhadores de TI e a campanha de engenharia social contra desenvolvedores significa que a superfície de ataque da RPDC contra a indústria cripto é multidimensional. Hackers externos, desenvolvedores comprometidos via falsas ofertas de emprego e infiltrados colocados dentro das empresas representam vetores de ameaça ativos operando simultaneamente.
Leia também: OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout
A Resposta Mais Ampla de Segurança da Indústria
A resposta da indústria à ameaça da RPDC tem sido substancial, porém desigual.
Os protocolos com mais recursos agora conduzem extensas auditorias de segurança pré-implantação, rodam programas de bug bounty com recompensas de seis dígitos e mantêm equipes internas de segurança com histórico em pesquisa ofensiva.
Essa concentração de investimento em segurança no topo da hierarquia de protocolos reflete a mesma lei de potência que governa o cripto em geral.
A Immunefi, a principal plataforma de bug bounty em Web3, relatou pagamentos totais de recompensas superiores a US$ 100 milhões até meados de 2025 — tendo facilitado a identificação de vulnerabilidades que poderiam ter permitido bilhões em perdas potenciais.
O maior pagamento único em sua história foi uma recompensa de US$ 10 milhões para um pesquisador white hat que identificou uma falha crítica em um grande protocolo DeFi antes que pudesse ser explorada.
Mas essa concentração de gastos com segurança em protocolos de primeira linha deixa projetos DeFi menores — que ainda controlam coletivamente bilhões em TVL — significativamente subprotegidos.
O problema das bridges cross-chain, que está no centro de tantos grandes hacks, produziu suas próprias respostas de arquitetura.
A principal delas é a mudança em direção a bridges mais minimamente confiáveis, usando provas de conhecimento zero para verificar o estado da cadeia de origem sem depender de comitês de validadores.
Projetos como Succinct Labs e Polyhedra Network construíram infraestrutura de light clients em ZK especificamente projetada para eliminar a suposição de comitê confiável que tornou bridges como a Ronin exploráveis.
Seque a infraestrutura de segurança esteja melhorando rápido o suficiente para superar o desenvolvimento de capacidades da RPDC é algo genuinamente incerto.
A participação de 66% no primeiro semestre de 2026 sugere que, mesmo com investimentos substanciais da indústria, o atacante está acompanhando o ritmo.
Também leia: SpaceXAI Quer Um Matador De Claude Movido A Cursor Antes Mesmo Do Fechamento Do Acordo De US$60 Bi
Implicações Geopolíticas E O Que Vem A Seguir
O roubo de criptomoedas é a fonte mais importante de moeda forte da Coreia do Norte.
Isso não é um floreio retórico. Reflete uma realidade operacional documentada — reconhecida pelo Tesouro dos EUA, pelas Nações Unidas e por serviços de inteligência aliados.
O Painel de Especialistas da ONU estimou os lucros da RPDC com roubo de criptomoedas em aproximadamente US$ 3 bilhões entre 2017 e 2023, com o ritmo acelerando nos anos seguintes.
Os recursos não desaparecem em um tesouro do regime em qualquer sentido convencional.
Eles fluem diretamente para programas de armamentos — particularmente os esforços de mísseis balísticos e de miniaturização de ogivas nucleares que representam a principal prioridade estratégica de Pyongyang.
Cada dólar roubado de um protocolo DeFi potencialmente se traduz em capacidade material e técnica para sistemas de armas que planejadores de defesa dos EUA, da Coreia do Sul e do Japão modelam ativamente em suas avaliações de ameaça.
O Painel de Especialistas da ONU vinculou diretamente esses US$ 3 bilhões em roubos entre 2017 e 2023 ao financiamento de programas de armas — tornando a segurança em blockchain um componente concreto dos cálculos de segurança regional no Nordeste Asiático.
Leia em seguida: 5 Rivais Mais Baratos Que Fable 5: Não Pague Caro Demais Pelo Trabalho Diário Com IA
Considerações Finais
A participação de 66,2% no primeiro semestre de 2026 não é uma curiosidade estatística.
É um sinal sobre o estado atual da disputa entre um dos programas cibernéticos estatais mais capazes do mundo e uma indústria que historicamente priorizou velocidade de lançamento no mercado em detrimento da segurança operacional.
A trajetória dessa disputa — que vai de hacks oportunistas a exchanges em 2017, passando pela violação da bridge Ronin em 2022 até a atual campanha multivetorial que tem como alvo desenvolvedores, bridges e insiders simultaneamente — mostra um agente de ameaça que aprende, se adapta e escala mais rápido do que o investimento defensivo da indústria tem conseguido conter.
Os fatores estruturais que favorecem a RPDC não vão desaparecer no curto prazo.
A Coreia do Norte conta com uma força de trabalho cibernética institucional sem tentações do setor privado, sem responsabilidade pública e com um mandato estatal para gerar receita por qualquer meio disponível.
A indústria cripto, em contraste, tem um cenário de segurança difuso. Os protocolos mais valiosos estão cada vez mais bem defendidos — mas a longa cauda de pequenos projetos DeFi continua sistematicamente com poucos recursos.
E as bridges cross-chain, a infraestrutura que conecta as ilhas de liquidez do ecossistema, permanecem arquiteturalmente complexas de maneiras que criam pressupostos exploráveis persistentes.





