No sábado, 18 de abril, uma ponte cross-chain operada pela Kelp DAO quietly bled 116,500 rsETH. Na segunda-feira, a LayerZero had a name for the attackers. Não era um nome novo.
O Lazarus Group da Coreia do Norte deixou de ser apenas um rótulo de hackers no cripto. É a prova mais clara de que operações cibernéticas estatais transformaram ativos digitais em um canal estratégico de financiamento, em que as maiores violações da indústria agora se parecem menos com bugs isolados e mais com derrotas operacionais de longo ciclo.
- A LayerZero atribui o exploit da Kelp DAO em 18 de abril de 2026, de cerca de US$ 292 milhões em tokens derivados de Ether (eth), ao Lazarus Group da Coreia do Norte e à sua subunidade TraderTraitor.
- A Chainalysis diz que atores ligados à RPDC roubaram US$ 2,02 bilhões em cripto durante 2025, elevando o total acumulado para US$ 6,75 bilhões.
- O padrão aponta para uma guerra operacional patrocinada por um Estado, e não para bugs isolados de smart contracts, como a principal ameaça de segurança do setor.
O ataque à Kelp, e por que a atribuição importa
A LayerZero pinned o dreno da Kelp DAO a um ator estatal em seu relatório póstumo de 20 de abril. A declaração o chamou de o maior exploit de DeFi de 2026 e destacou “um ator estatal altamente sofisticado, provavelmente o Lazarus Group da RPDC, mais especificamente TraderTraitor”.
O mecanismo não foi um bug de smart contract. Os atacantes comprometeram dois nós de chamada de procedimento remoto (RPC) usados pela Decentralized Verifier Network da LayerZero e, em seguida, executaram um ataque de negação de serviço contra os nós limpos para forçar o failover para os nós envenenados.
Isso deixou a configuração de verificador 1-de-1 da Kelp basicamente carimbando uma mensagem cross-chain fraudulenta, e a ponte liberou 116.500 rsETH para o atacante.
A Kelp paused os contratos principais por meio de seu multisig de emergência cerca de 46 minutos depois, bloqueando duas tentativas subsequentes de dreno no valor de mais US$ 100 milhões.
A Kelp contestou publicamente a narrativa da LayerZero, dizendo que a configuração de verificador único refletia o padrão documentado da própria LayerZero, e não a desobediência a conselhos explícitos.
A atribuição é o que transforma isso de um incidente “corrija-e-siga-em-frente” em outra coisa. Um bug convida a um patch. Um ator estatal convida a um adversário permanente.
Also Read: Why Aave Is Trending Again And What The $577M Daily Volume Means For DeFi
Quem o Lazarus realmente é
O FBI placed o cluster TraderTraitor dentro do aparato cibernético estatal da Coreia do Norte em seu comunicado de 26 de fevereiro de 2025 sobre o roubo da Bybit, nomeando-o como operador direto de um assalto de US$ 1,5 bilhão em ativos virtuais.
Reportagens da Reuters em 2022 e sanções repetidas do Tesouro dos EUA já haviam tied Lazarus, Bluenoroff e Andariel ao Reconnaissance General Bureau, a principal agência de inteligência militar de Pyongyang.
Dentro dessa estrutura, analistas acompanham um conjunto rotativo de aliases — APT38, Hidden Cobra, Diamond Sleet, Jade Sleet, Slow Pisces, TraderTraitor — que frequentemente compartilham pessoal e infraestrutura.
A consequência para o cripto é direta.
Quando uma violação é atribuída a “Lazarus”, não se trata de um adolescente no porão, e raramente é um contratado solitário. É uma unidade estatal com orçamento, mandato e um horizonte de paciência medido em anos, não em semanas.
Isso muda o que conta como defesa crível. Também muda quem, no fim da cadeia de lavagem, acaba se beneficiando.
Also Read: NSA Runs Anthropic's Mythos AI Despite Pentagon's Supply-Chain Risk Label
De Sony a smart contracts
O Lazarus não começou no cripto. Ele se anunciou com o ataque wiper à Sony Pictures em 2014, depois o assalto via SWIFT ao Bangladesh Bank em 2016 e o WannaCry em 2017.
O cripto veio em seguida, e rápido.
O Serviço Nacional de Inteligência da Coreia do Sul told à Associated Press, em dezembro de 2022, que hackers norte-coreanos haviam roubado cerca de US$ 1,2 bilhão em ativos virtuais em cinco anos.
Um relatório do Painel de Especialistas da ONU revealed 58 ataques cibernéticos suspeitos da RPDC entre 2017 e 2023, avaliados em cerca de US$ 3 bilhões e alimentando os programas de armas de destruição em massa de Pyongyang.
As últimas estatísticas da Chainalysis empurram essa linha acumulada para cima: US$ 6,75 bilhões em roubos cripto ligados à RPDC identificados até hoje, com US$ 2,02 bilhões só em 2025.
A trajetória é a história. A cada ano, há menos incidentes, porém maiores. A indústria enriqueceu, os alvos cresceram, e o Lazarus escalou junto.
Also Read: Bitcoin ETF Demand Fuels $1.4B Weekly Inflow, Second-Best Since January
Os maiores assaltos ligados ao Lazarus
O Tesouro norte-americano updated suas sanções ao Lazarus com endereços de carteira ligados ao dreno da Ronin Bridge em março de 2022, atribuindo cerca de US$ 625 milhões em perdas a atores da RPDC.
Uma lista curta captura a escala:
- Ronin Network, mar. 2022: cerca de US$ 625 milhões drenados da ponte sidechain de Axie Infinity, atribuídos ao Lazarus pelo OFAC do Tesouro dos EUA semanas depois.
- Harmony Horizon, jun. 2022: cerca de US$ 100 milhões roubados, formalmente atribuídos ao Lazarus e à APT38 pelo FBI em jan. 2023.
- WazirX, jul. 2024: aproximadamente US$ 235 milhões subtraídos da corretora indiana em um comprometimento de multisig amplamente atribuído a atores ligados à RPDC.
Depois veio o ano de virada.
A DMM Bitcoin perdeu 4.502,9 Bitcoin (btc), avaliados em cerca de US$ 308 milhões na época, em maio de 2024. O FBI, o Departamento de Defesa e a Agência Nacional de Polícia do Japão confirmed o elo com TraderTraitor em dezembro, descrevendo uma isca com tema de recrutador que comprometeu um fornecedor de software de carteira e terminou em uma retirada manipulada.
A Bybit, em fevereiro de 2025, foi o auge.
Um atacante mascarou a interface de assinatura durante uma transferência rotineira de cold wallet e redirecionou cerca de 400.000 Ether, avaliados em aproximadamente US$ 1,5 bilhão, para um endereço desconhecido.
A Chainalysis agora coloca esse único incidente em US$ 1,5 bilhão dos US$ 3,4 bilhões roubados em todo o setor em 2025. A Kelp, com US$ 292 milhões, é o capítulo mais recente, não o mais barulhento. É como uma operação madura se parece quando deixa de precisar de espetáculo.
Also Read: Strategy Buys $2.5B In Bitcoin, Its Biggest Haul In 16 Months
O playbook do Lazarus mudou
O FBI e o Japão detailed o novo modelo do Lazarus em seu comunicado conjunto sobre a DMM Bitcoin. A velha imagem do Lazarus como uma “fábrica de phishing” está obsoleta.
Um hacker se passou por recrutador no LinkedIn. Um falso teste pré-admissional implantou um script Python malicioso no GitHub pessoal de um engenheiro da Ginco, fornecedora de software de carteira. Cookies de sessão roubados liberaram o acesso ao chat interno da Ginco e, semanas depois, um pedido legítimo de transação da DMM foi silenciosamente reescrito em trânsito.
Na Bybit, a Safe{Wallet} confirmed que aplicativos de assinatura modificados por malware exibiam o destino correto enquanto alteravam a lógica do smart contract por baixo. Na Kelp, a LayerZero diz que os atacantes trocaram os binários justamente nos nós de RPC em que o verificador confiava, projetados para se autodestruir e apagar logs locais após o uso.
O fio condutor é que o código raramente é a vulnerabilidade. As pessoas, os fornecedores, os pipelines de build e as empresas de hospedagem de infraestrutura é que são.
A Chainalysis também apontou um canal paralelo: operativos da RPDC se infiltrando em empresas cripto como trabalhadores remotos de TI sob identidades falsas, às vezes usando colaboradores recrutados via Upwork e Freelancer para ganhar escala.
Also Read: Bitget Unveils Project Ulysses, Offers $3M Interest-Free Credit To 50 Institutional Clients
Por que o Lazarus continua voltando ao cripto
O motivo da Coreia do Norte é sobrevivência econômica, não ideologia.
Reportagens da AP e da ONU consistentemente describe o roubo de cripto como uma fonte de receita substituta para uma economia sancionada e como financiamento direto para programas de mísseis balísticos e armas nucleares.
Autoridades dos EUA citadas pela AP foram além, estimando que o cibercrime agora responde por quase metade das receitas em moeda estrangeira da Coreia do Norte.
O cripto acaba sendo o alvo quase perfeito para essa missão. Transações liquidam com finalidade em minutos, não dias, então não há banco correspondente para revertê-las. A liquidez é profunda, o pseudonimato é barato, e trilhos cross-chain movem valor mais rápido do que qualquer órgão de fiscalização consegue congelá-lo.
O Yahoo Finance noted, citando a própria linha do tempo da LayerZero sobre a Kelp, que o atacante consolidou cerca de 74.000 Ether após o dreno e havia pré-financiado carteiras via Tornado Cash cerca de dez horas antes do golpe.
Para um governo que pesa um assalto a banco contra um assalto a ponte, a ponte vence. every time.
Também leia: One Company Now Owns 4% Of All Ethereum, Bitmine Adds 101,627 ETH In A Week
O que os investigadores on-chain realmente acrescentaram
A Arkham atribuiu crédito ao investigador pseudônimo ZachXBT por apresentar “prova definitiva” ligando o exploit da Bybit ao Lazarus por meio de transações de teste, carteiras conectadas e análises de tempo, em sua postagem de recompensa de 21 de fevereiro de 2025.
Cinco dias depois, o comunicado de utilidade pública do FBI mencionou formalmente a Coreia do Norte, usando o rótulo TraderTraitor e publicando listas de bloqueio de carteiras.
A ordem importa. Investigadores on-chain como ZachXBT costumam estar entre os primeiros a conectar publicamente grandes violações a carteiras e padrões de lavagem ligados ao Lazarus, às vezes antes da confirmação oficial.
Eles não são a principal fonte de verdade. São uma camada inicial de atribuição pública que acelera a resposta em nível de corretora enquanto as agências federais conduzem processos mais lentos, com padrão probatório.
Essa divisão de trabalho é nova. E também é estrutural, porque uma vez que fundos roubados começam a saltar entre cadeias, a única questão é com que rapidez os endereços são sinalizados.
Também leia: RaveDAO Jumps 62% In A Day, But Volume Now Exceeds Its Entire Market Cap
Por que o setor ainda perde essas disputas
A maioria dos debates sobre segurança em cripto ainda se concentra em auditorias de código. O Lazarus não se importa com auditorias.
A superfície de ataque que realmente importa é operacional. Ela inclui ferramentas de assinatura de terceiros, fornecedores de carteiras, infraestrutura de nós, pipelines de recrutamento, sistemas de build e um pequeno grupo de pessoas com acesso privilegiado. Cada um desses elementos esteve presente em pelo menos uma violação ligada ao Lazarus nos últimos dois anos.
A Chainalysis relata um segundo problema estrutural: o ciclo de lavagem foi refinado em um padrão de aproximadamente 45 dias e três ondas, que empurra fundos roubados por mixers, pontes cross-chain e redes OTC em língua chinesa, movendo parcelas em quantias geralmente abaixo de US$ 500.000 para evitar acionar mecanismos de monitoramento.
A resposta da indústria permanece fragmentada. Corretoras entram em blacklist em velocidades diferentes. Alguns protocolos DeFi fazem pausa, outros não.
Uma análise no Dune após o incidente constatou que 47% dos OApps LayerZero ativos ainda operavam com configurações de DVN 1-de-1.
O defensor precisa vencer toda semana. O Lazarus só precisa vencer uma vez por trimestre.
Também leia: LayerZero, Aave, Monad All Sliding: What's Driving The DeFi Pullback Tonight
O que Kelp sinaliza sobre a próxima fase
A conclusão desconfortável a partir de Kelp é que, mesmo depois da Bybit, o abismo entre segurança de código e segurança operacional continua grande.
A Bybit sofreu um comprometimento da interface de assinatura com um balanço patrimonial de US$ 20 bilhões por trás dela. Kelp sofreu um comprometimento na camada de infraestrutura contra um protocolo de liquid restaking de porte médio.
Mesmo cluster de atores, vetor de ataque diferente, dezoito dias depois do drain no Drift Protocol de cerca de US$ 285 milhões, também ligado a operadores da RPDC.
Essa cadência é o ponto central. O Lazarus está iterando seu playbook mais rápido do que as equipes DeFi estão fortalecendo suas dependências, e cada acerto bem-sucedido financia a próxima rodada de recrutamento, ferramental e paciência.
O The Hacker News informou que atores ligados à RPDC foram responsáveis por 59% de todo o cripto roubado globalmente em 2025, o que destaca como esse adversário se tornou central nas perdas do setor.
Escolhas de configuração como setups com um único verificador, operadores de nós não auditados e software de carteira compartilhado deixaram de ser itens de risco menores. Em um mundo em que o adversário é um Estado, eles são o elemento principal.
Também leia: C1 Fund Books 150% Return On Ripple Investment In Less Than Four Months
Conclusão
O Lazarus é a prova de que as maiores falhas de segurança em cripto agora são geopolíticas, financeiras e de infraestrutura ao mesmo tempo.
Ronin, Harmony, WazirX, DMM Bitcoin, Bybit e agora Kelp não formam uma lista de acidentes isolados. Eles formam uma campanha, conduzida por um governo sancionado contra um setor que ainda subestima como se parece um adversário persistente de nível estatal.
O próximo Kelp já está sendo planejado. A questão é se o setor o tratará como um bug report ou como uma linha de frente.
Leia a seguir: Crypto Futures Wipeout: $197M Liquidated As BTC Climbs Above $76K
FAQ
O que aconteceu no hack do Kelp DAO?
Em 18 de abril de 2026, atacantes drenaram 116.500 rsETH, no valor aproximado de US$ 292 milhões, de uma ponte cross-chain operada pelo Kelp DAO. O exploit não teve como alvo um bug de smart contract. Em vez disso, os atacantes comprometeram dois nós de chamada de procedimento remoto usados pela Decentralized Verifier Network da LayerZero e então forçaram um failover para que um nó envenenado carimbasse uma mensagem fraudulenta cross-chain. A multisig de emergência do Kelp pausou os contratos centrais 46 minutos depois, bloqueando duas tentativas subsequentes de drain que totalizariam mais US$ 100 milhões.
Quem é o Lazarus Group?
Lazarus é o rótulo guarda-chuva para atores cibernéticos ligados ao Estado norte-coreano, associados pelo Departamento do Tesouro dos EUA e pelo FBI ao Reconnaissance General Bureau, a principal agência de inteligência militar de Pyongyang. Analistas acompanham vários subclusters e aliases sob esse mesmo guarda-chuva, incluindo TraderTraitor, APT38, Bluenoroff, Andariel, Hidden Cobra, Diamond Sleet, Jade Sleet e Slow Pisces. Esses clusters costumam compartilhar infraestrutura e pessoal.
Por que a LayerZero atribuiu o exploit de Kelp ao Lazarus?
O post-mortem da LayerZero apontou a técnica do ataque e o comportamento das carteiras como marcas de um ator estatal, especificamente a subunidade TraderTraitor do Lazarus. O pré-financiamento via Tornape Cash cerca de dez horas antes do ataque, o uso de binários autodestrutivos na infraestrutura comprometida e a consolidação pós-drain de cerca de 74.000 Ether correspondem a padrões documentados em exploits anteriores ligados à RPDC.
Quanto cripto a Coreia do Norte já roubou no total?
A Chainalysis identifica US$ 6,75 bilhões em roubos de cripto ligados à RPDC até o momento. Desse total, US$ 2,02 bilhões foram roubados apenas em 2025, o que representou cerca de 59% de todo o cripto roubado globalmente naquele ano. Relatos anteriores do Serviço Nacional de Inteligência da Coreia do Sul estimaram o total de cinco anos até 2022 em aproximadamente US$ 1,2 bilhão, enquanto um Painel de Especialistas da ONU investigou 58 suspeitos ciberataques da RPDC entre 2017 e 2023, avaliados em cerca de US$ 3 bilhões.
O que é TraderTraitor?
TraderTraitor é um subcluster do Lazarus que se especializa em alvos da indústria cripto. Seu movimento característico é a engenharia social contra equipes técnicas, geralmente por meio de propostas falsas de recrutadores no LinkedIn, testes pré-emprego com malware embutido e comprometimento de fornecedores de software de carteira ou de infraestrutura de assinatura. O FBI, o Departamento de Defesa dos EUA e a Agência Nacional de Polícia do Japão citaram formalmente o TraderTraitor no roubo de US$ 308 milhões da DMM Bitcoin, e o FBI posteriormente o apontou novamente como operador do roubo de US$ 1,5 bilhão da Bybit.
Quais são os maiores hacks de cripto ligados ao Lazarus?
Os maiores incidentes publicamente atribuídos incluem a Ronin Network em março de 2022 com cerca de US$ 625 milhões, Harmony Horizon em junho de 2022 com cerca de US$ 100 milhões, WazirX em julho de 2024 com aproximadamente US$ 235 milhões, DMM Bitcoin em maio de 2024 com cerca de US$ 308 milhões, Bybit em fevereiro de 2025 com cerca de US$ 1,5 bilhão e Kelp DAO em abril de 2026 com cerca de US$ 292 milhões.
Como o Lazarus lava cripto roubado?
A Chainalysis descreve um ciclo de lavagem refinado de aproximadamente 45 dias e três ondas. Os fundos roubados passam por mixers, pontes cross-chain e redes OTC em língua chinesa, muitas vezes divididos em parcelas mantidas abaixo de US$ 500.000 para evitar ultrapassar limites de monitoramento. O objetivo é superar listas de bloqueio de corretoras e análises on-chain antes de os fundos chegarem a pontos de cash-out.
Por que a Coreia do Norte mira cripto?
O roubo de cripto funciona como uma fonte de renda para evasão de sanções para a economia isolada de Pyongyang e como financiamento direto para seus programas de mísseis balísticos e nucleares, de acordo com relatórios de um Painel de Especialistas da ONU e autoridades dos EUA citadas pela AP. Estimativas dos EUA sugerem que o cibercrime agora responde por quase metade das receitas em moeda estrangeira da Coreia do Norte. Os trilhos cripto se encaixam na missão porque as transações se liquidam com finalidade em minutos e não podem ser revertidas por um banco correspondente.
Quem é ZachXBT e qual foi seu papel?
ZachXBT é um investigador on-chain pseudônimo cujo trabalho público de atribuição repetidamente precedeu a confirmação formal por governos. No caso da Bybit, a postagem de recompensa da Arkham, em 21 de fevereiro de 2025, atribuiu a ele a análise de ligação de transações que conectou o exploit ao Lazarus, cinco dias antes de o FBI nomear formalmente a Coreia do Norte. Investigadores on-chain como ZachXBT formam uma camada inicial de atribuição pública, não um substituto para investigadores federais, mas uma camada mais rápida para a resposta em nível de corretora.
O setor cripto consegue parar o Lazarus?
Não apenas com auditorias de código. A superfície de ataque que importa é operacional, incluindo ferramentas de assinatura de terceiros, fornecedores de carteiras, infraestrutura de nós, pipelines de recrutamento e sistemas de build. Uma análise no Dune após o incidente de Kelp constatou que 47% dos OApps LayerZero ativos ainda operavam com setups de verificador 1-de-1, exatamente a configuração que permitiu o exploit em Kelp. Fortalecer essa camada, entre fornecedores, hosts de infraestrutura e acesso humano, é onde os ganhos defensivos agora se concentram.
O Kelp DAO é seguro para usar agora?
Kelp pausou contratos centrais por meio de sua multisig de emergência.multisig within 46 minutes of detection, which blocked two additional drain attempts. Users should check Kelp's and LayerZero's official incident channels for the current contract status, any recovery or reimbursement program and updated verifier configurations before resuming activity.
Qual é a diferença entre Lazarus e TraderTraitor?
Lazarus é o guarda‑chuva. TraderTraitor é um subcluster especializado dentro desse guarda‑chuva, focado em alvos da indústria cripto e conhecido por engenharia social contra engenheiros e fornecedores de software de carteira. Quando o FBI atribui um ataque especificamente ao TraderTraitor, está nomeando a unidade operacional, não apenas o ecossistema mais amplo ligado ao Estado.