As autoridades sul-coreanas estão investigando se o grupo de hackers Lazarus, da Coreia do Norte, orquestrou uma violação de US$ 36 milhões na maior corretora de criptomoedas do país, com o ataque ocorrendo exatamente seis anos após o principal incidente de segurança anterior da plataforma, também atribuído aos mesmos agentes estatais.
Upbit suspendeu depósitos e saques na quinta-feira após detectar transferências não autorizadas de aproximadamente 44,5 bilhões de won (US$ 36 milhões) em ativos baseados em Solana de uma hot wallet para endereços externos desconhecidos.
A violação ocorreu às 4h42 no horário local de 27 de novembro, acionando imediatamente protocolos de emergência e um congelamento em toda a plataforma de todos os serviços de transação.
Fontes do governo e da indústria disseram à agência Yonhap News que investigadores que analisam os fluxos de carteiras e vetores de intrusão agora suspeitam que os invasores ou comprometeram uma conta de administrador ou conseguiram se passar por um operador interno – táticas que espelham de perto o incidente de 2019, quando 342.000 ETH, avaliados em US$ 50 milhões, foram roubados em um ataque posteriormente ligado ao Lazarus e ao grupo norte-coreano relacionado Andariel.
O que aconteceu
A violação afetou mais de 20 tokens do ecossistema Solana, incluindo SOL, USDC, BONK, Jupiter, Raydium, Render, Orca e Pyth Network. A Dunamu, que opera a Upbit, confirmou os saques não autorizados e prometeu o reembolso total aos clientes usando as reservas operacionais da corretora. A empresa informou deter 67 bilhões de won em reservas para ataques ou falhas de sistema em setembro, conforme a lei sul-coreana de proteção ao usuário de cripto.
“Identificamos o valor exato dos ativos digitais que vazaram e cobriremos totalmente a perda com os próprios ativos da Upbit para que os clientes não sejam afetados de forma alguma”, disse Oh Kyung-seok, CEO da Dunamu, em comunicado. A corretora moveu os ativos remanescentes para cold storage para evitar saques adicionais enquanto as equipes forenses investigavam.
A Upbit congelou aproximadamente 2,3 bilhões de won (US$ 1,6 milhão) em tokens Solayer por meio de medidas on-chain e está coordenando com emissores de tokens para congelar ativos rastreáveis adicionais. Empresas de forense em blockchain identificaram transferências rápidas entre múltiplas carteiras e atividade de mixing consistente com padrões anteriores de lavagem do Lazarus, segundo autoridades de segurança.
“Em vez de atacar o servidor, é possível que os hackers tenham comprometido contas de administradores ou se passado por administradores para realizar a transferência”, disse um funcionário do governo à Yonhap. A abordagem aponta para manipulação direcionada de contas, e não para um ataque direto à infraestrutura da Upbit, reforçando as comparações com operações anteriores do Lazarus.
Reguladores do Ministério da Ciência e TIC, da Comissão de Serviços Financeiros e de outros órgãos de supervisão iniciaram inspeções presenciais dos sistemas da Upbit, com foco na gestão de chaves de hot wallets e na segurança da rede interna. A corretora afirmou que está conduzindo uma revisão abrangente de todo o sistema de depósitos e saques de ativos digitais e retomará os serviços de forma gradual assim que a segurança for confirmada.
A empresa de segurança em blockchain CertiK observou que a velocidade e a escala dos saques se assemelham a ataques anteriores relacionados ao Lazarus, embora ainda não tenha provas definitivas on-chain. A firma acompanhou os fluxos de fundos em mais de 100 endereços exploradores na Solana e continua monitorando os movimentos para rastrear conexões com redes de lavagem ligadas ao Lazarus.
O momento do ataque alimentou especulações sobre os motivos dos hackers. A violação ocorreu no mesmo dia em que a Naver Financial, subsidiária da gigante de internet coreana Naver, anunciou um acordo de troca de ações de US$ 10,3 bilhões para adquirir toda a participação da Dunamu. A fusão transformaria a Dunamu em subsidiária integral e representaria uma das transições corporativas mais importantes no mercado cripto sul-coreano.
“Hackers tendem a ter um forte desejo de se exibir”, disse um especialista em segurança à Yonhap, sugerindo que os invasores podem ter escolhido intencionalmente 27 de novembro para maximizar a atenção durante o anúncio da fusão de alto perfil. A data também marcou o sexto aniversário do hack de 2019 da Upbit no mesmo dia.
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Por que isso importa
A violação da Upbit representa a mais recente entrada em um ano recorde para incidentes de segurança em criptomoedas. As perdas com hacks e exploits ultrapassaram US$ 2,4 bilhões em 2025, com o gigantesco ataque de US$ 1,5 bilhão à corretora Bybit em fevereiro dominando o total. O ataque à Bybit – o maior da história das criptos – também foi atribuído ao grupo Lazarus da Coreia do Norte.
Segundo a empresa de segurança em blockchain CertiK, o primeiro semestre de 2025 registrou US$ 2,47 bilhões em perdas devido a hacks, golpes e exploits, um aumento de quase 3% em relação aos US$ 2,4 bilhões roubados em todo o ano de 2024. O comprometimento de carteiras surgiu como o vetor de ataque mais caro, com mais de US$ 1,7 bilhão roubados em 34 incidentes. Ataques de phishing responderam pelo maior número de incidentes de segurança, com 132 violações e US$ 410 milhões roubados.
O grupo Lazarus tem repetidamente empregado uma variedade de táticas, passando de intrusões em corretoras para ataques à cadeia de suprimentos e comprometimento de ambientes de desenvolvedores. O grupo já implantou clusters de malware personalizados, iscas de engenharia social e uma vasta infraestrutura de lavagem, roteando criptomoedas roubadas por mixers e bridges em diferentes redes. Especialistas em segurança observam que a Coreia do Norte, enfrentando escassez de moeda estrangeira, utiliza criptos roubadas para financiar atividades do regime.
No ataque à Upbit em 2019, investigadores concluíram que mais da metade do ETH roubado foi lavado por meio de contas em corretoras criadas com identidades falsas, usando métodos típicos do Lazarus, incluindo salto entre carteiras e técnicas de mixing. O grupo já mirou plataformas cripto para maximizar impacto e exposição, sugerindo que ataques podem ser deliberadamente encenados para explorar momentos de maior atenção pública.
“É a abordagem padrão deles espalhar tokens em múltiplas redes para quebrar o rastreamento”, disse um funcionário de segurança. A provedora de análise em blockchain Dethective informou que carteiras ligadas ao suposto hacker já começaram a mover fundos, indicando que o processo de lavagem foi iniciado.
A violação na Upbit também destaca vulnerabilidades persistentes na infraestrutura de hot wallets, que permanecem conectadas por razões operacionais. Embora as cold wallets que armazenam a maior parte dos ativos da corretora tenham permanecido seguras, as hot wallets – que lidam com negociações ativas e saques – continuam a ser alvos atraentes para invasores sofisticados. Mesmo plataformas antigas que passaram por inúmeras auditorias de segurança não foram poupadas, com o hack de US$ 128 milhões ao protocolo Balancer em novembro demonstrando a amplitude do cenário de ameaças.
A capacidade da Upbit de reembolsar integralmente os clientes a partir de reservas operacionais fornece alguma tranquilidade, mas o incidente representa um golpe financeiro direto significativo para a corretora e para a Dunamu, enquanto esta conduz o processo de integração com a Naver Financial. A fusão vinha sendo apresentada como um movimento estratégico para investir 10 trilhões de won ao longo de cinco anos no desenvolvimento de infraestrutura de tecnologia de IA e Web3 na Coreia do Sul. O hack, ocorrido horas após o anúncio da aquisição, cria um pano de fundo desconfortável para a nova entidade combinada.
As autoridades continuam rastreando os ativos roubados por meio de análise em blockchain enquanto realizam revisões forenses da infraestrutura de segurança da Upbit. A corretora não forneceu um cronograma para a retomada de depósitos e saques, embora auditorias de segurança após incidentes dessa magnitude normalmente exijam vários dias ou mais, dependendo das conclusões.
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users