Roubo de Cripto Alcança Nova Escala, Coreia do Norte Leva Dois Terços

Roubo de Cripto Alcança Nova Escala, Coreia do Norte Leva Dois Terços

Um único Estado-nação ficou com dois terços de cada dólar roubado do ecossistema global de cripto no primeiro semestre de 2026.

Isso não é um erro de arredondamento. Não é o resultado de um único assalto espetacular.

É o produto de uma operação de hacking sustentada e industrializada — que passou quase uma década refinando seus métodos e agora supera todos os outros agentes de ameaça no setor somados.

A escala é impressionante mesmo para os padrões do crime em cripto, que nunca foi avesso a números dramáticos.

Grupos ligados à Coreia do Norte responderam por 66,2% das perdas globais com hacking de ativos digitais no primeiro semestre de 2026, segundo números que circularam nesta semana entre pesquisadores de segurança em blockchain.

Essa concentração de perdas em um único agrupamento de ameaça marca uma mudança qualitativa no perfil de risco de todo o setor. E chega em um momento em que capital institucional está entrando em cripto no ritmo mais rápido desde 2021.

TL;DR

  • Hackers ligados à Coreia do Norte capturaram 66,2% de todas as perdas em hacks de cripto na primeira metade de 2026, representando um novo pico na concentração de roubo de cripto patrocinado por Estado.
  • O Lazarus Group e unidades afiliadas da RPDC evoluíram de hacks oportunistas a exchanges para operações altamente estruturadas visando protocolos DeFi, pontes cross-chain e engenharia social de desenvolvedores.
  • Os fundos financiam diretamente os programas de armamentos da Coreia do Norte, tornando a segurança em cripto uma questão geopolítica que reguladores em Washington, Bruxelas e Seul agora tratam com urgência.

A Figura de 66% e o Que Ela Realmente Mede

Antes de destrinchar o quadro estratégico, a metodologia por trás desse número merece escrutínio.

A cifra de 66,2% se refere à fatia do total de perdas verificadas em hacks de cripto atribuíveis a carteiras ligadas à RPDC no primeiro semestre de 2026 — com base em análises on-chain que rastreiam os fluxos de fundos desde o roubo inicial, passando pelo uso de mixers até a saída final.

A Chainalysis, que publicou os dados longitudinais mais abrangentes sobre crime em cripto, relatou em seu Relatório de Crime de 2024 que grupos ligados à Coreia do Norte roubaram aproximadamente US$ 1,34 bilhão em 47 incidentes em 2023 — 61% do valor total roubado naquele ano.

O número do primeiro semestre de 2026 representa uma concentração ainda maior. Ele sugere que a diferença entre as capacidades da RPDC e as de todos os outros agentes de ameaça está se ampliando, não diminuindo.

Essa fatia de 66,2% é a maior concentração já registrada de roubo de ativos digitais patrocinado por Estado em um único período de seis meses.

É importante notar o que a cifra de 66% não captura.

Ela exclui golpes de saída, rug pulls e fraudes — que a Chainalysis normalmente classifica separadamente de hacks. O denominador são apenas perdas de hacking verificadas.

Incluir todas as categorias de crime em cripto reduziria a participação percentual da RPDC. Mas não diminuiria o valor absoluto em dólares roubados.

Leia também: Demanda à Vista por XRP Sobe Enquanto Perpétuos da Binance Sinalizam Alerta de US$ 783M

Como o Lazarus Group se Tornou uma Superpotência em Cripto

O Lazarus Group — a designação guarda-chuva usada por agências de inteligência dos EUA e pesquisadores privados para as unidades cibernéticas mais capazes da RPDC — não começou como uma operação focada em cripto.

Seu perfil inicial envolvia ataques destrutivos, assaltos a bancos via exploração da rede SWIFT e ransomware.

A guinada para cripto foi gradual. Começou de fato por volta de 2017, quando o grupo mirou exchanges sul-coreanas — e depois escalou fortemente após a violação da Ronin Network em 2022.

O hack da Ronin, no qual o Lazarus Group roubou aproximadamente US$ 625 milhões da sidechain do Axie Infinity, foi um ponto de inflexão estratégico.

Ele mostrou que a infraestrutura DeFi — com sua complexidade de smart contracts, dependências de pontes cross-chain e vulnerabilidades de engenharia social de desenvolvedores — oferecia uma superfície de ataque muito mais lucrativa do que exchanges centralizadas, que haviam fortalecido suas defesas após uma década de violações.

Esse roubo de US$ 625 milhões em março de 2022 continua sendo o maior hack de DeFi já registrado. Ele serviu como modelo operacional para campanhas subsequentes de cripto da RPDC.

Desde 2022, o grupo vem refinando sistematicamente três vetores de ataque.

O primeiro são credenciais de desenvolvedores comprometidas — tipicamente via ofertas falsas de emprego no LinkedIn que instalam malware quando o alvo abre um documento ou executa um repositório.

O segundo são explorações de pontes cross-chain, visando a lógica de smart contracts que valida transferências de ativos entre redes.

O terceiro são ataques à cadeia de suprimentos contra dependências de software usadas por protocolos de cripto — técnica primeiro popularizada na cibersegurança tradicional, agora adaptada a alvos em blockchain.

Leia também: Eng Vs Ind Não é Mais Apenas Críquete para Traders de Mercados de Previsão

O Perfil de Alvos Mudou de Exchanges para DeFi

A história inicial dos grandes hacks de cripto foi escrita por violações em exchanges centralizadas. Mt. Gox em 2014, Bitfinex em 2016, Coincheck em 2018. Esses ataques dependiam de comprometer a infraestrutura de hot wallets, explorar vulnerabilidades de API ou corromper insiders. Os autores eram muitas vezes grupos criminosos oportunistas, e não atores estatais com apoio institucional.

O playbook atual da RPDC é fundamentalmente diferente. A TRM Labs, em seu relatório 2024 Crypto Threat Intelligence, constatou que a participação do total de roubo de cripto da RPDC atribuída a explorações de protocolos DeFi, em vez de hacks a exchanges centralizadas, subiu de cerca de 30% em 2021 para mais de 70% em 2024. Essa mudança acompanha o crescimento da própria liquidez on-chain.

O valor total bloqueado em protocolos DeFi globalmente atingiu um pico acima de US$ 180 bilhões no fim de 2021, caiu acentuadamente durante o bear market de 2022 e, desde então, se recuperou para níveis que novamente representam um alvo atraente. Dados da DefiLlama (https://defillama.com/) em meados de 2026 mostram o TVL total de DeFi acima de US$ 110 bilhões em todas as chains, com pontes cross-chain controlando uma fatia desproporcional desse valor de forma agrupada.

Contratos de pontes DeFi são alvos estruturalmente atraentes para atacantes sofisticados porque agregam grandes pools de liquidez em contratos inteligentes únicos, ao mesmo tempo em que exigem validação complexa de mensagens cross-chain que é difícil de auditar completamente.

Pontes cross-chain se tornaram uma obsessão específica para as unidades da RPDC por causa de sua topologia de risco única. Um contrato de ponte precisa confiar em afirmações de uma chain remota que não pode verificar nativamente. A lógica de validação é complexa, frequentemente baseada em um comitê de multiassinatura ou em uma prova de light client. Qualquer uma das abordagens cria pressupostos exploráveis. A ponte Ronin usava um multisig de nove de nove que, na prática, foi reduzido a um limiar de cinco de nove por meio de engenharia social. Esse limiar de cinco assinaturas foi então alcançado pelos atacantes, autorizando saques que esvaziaram a ponte.

Leia também: Fable 5 Vale o Dobro do Preço Quando Opus 4.8 Ainda Entrega?

O Vetor da Falsa Oferta de Emprego e a Mira em Desenvolvedores

O elemento mais consistente e subestimado da campanha da RPDC no primeiro semestre de 2026 é a infraestrutura de engenharia social que mira desenvolvedores individuais e funcionários de protocolos. Isso não é um hack técnico no sentido tradicional. É uma operação de inteligência paciente, baseada em relacionamento, que culmina em execução de código.

O playbook padrão, documentado em detalhes pela Mandiant em sua análise de ameaça financeira do APT38 e pela Cybersecurity and Infrastructure Security Agency dos EUA no Alerta CISA AA22-108A, envolve operadores da RPDC criando perfis profissionais convincentes no LinkedIn, muitas vezes usando fotos de perfil geradas por IA. Eles abordam desenvolvedores que trabalham em protocolos de cripto, oferecendo trabalho como contratados, entrevistas de emprego ou oportunidades de revisão de código.

Em casos documentados, operadores da RPDC mantiveram relacionamentos no LinkedIn com desenvolvedores-alvo de cripto por semanas ou meses antes de entregar um payload de malware, construindo confiança por meio de conversas tecnicamente credíveis sobre a base de código específica do alvo.

Quando o alvo se engaja, o atacante eventualmente envia um arquivo que exige execução. Pode ser um PDF com payload embutido, um repositório no GitHub contendo uma dependência maliciosa ou um falso teste técnico que instala uma backdoor. Uma vez que o atacante obtém um ponto de apoio na máquina do desenvolvedor, pode coletar chaves privadas, tokens de sessão para sistemas internos e credenciais de infraestrutura em nuvem usada para gerenciar deploys de protocolos.

A sofisticação dessa “tradecraft” reflete um investimento institucional em desenvolvimento de capacidades que nenhum grupo criminoso privado consegue replicar. As unidades cibernéticas da RPDC são funcionários do Estado que treinam em tempo integral, operam sob disciplina de segurança operacional e acumulam, há anos, conhecimento institucional sobre quais protocolos são mais vulneráveis e quais desenvolvedores são mais abordáveis.

Leia também: Ações da TeraWulf Disparam Enquanto Acordo com a Anthropic Redefine Mineradora de Bitcoin em Pivot de IA de US$ 19 Bi

A Infraestrutura de Lavagem por Trás dos Números de Roubo

Roubar criptomoeda é apenas o primeiro passo. Convertê-la em receita utilizável para o regime exige uma cadeia de lavagem elaborada, que se tornou por si só objeto de intensa pesquisa on-chain. O movimento de fundos pós-roubo é onde investigadores mais frequentemente atribuem ataques à RPDC, porque o grupo tem padrões comportamentais identificáveis. padrões na forma como move e oculta fundos.

A Chainalysis documentou o fluxo padrão de lavagem da RPDC como um processo em múltiplas etapas. Os ativos roubados são primeiro convertidos em Ethereum (ETH) ou Bitcoin (BTC) usando exchanges descentralizadas on-chain, convertendo tokens ilíquidos específicos de protocolos em ativos mais líquidos. Esses ativos então passam por serviços de mistura, com o grupo usando historicamente o Tornado Cash antes de sua sanção pelo OFAC em agosto de 2022, o que forçou a adaptação para ferramentas de ofuscação alternativas, incluindo Sinbad e Yomix, ambas também já alvo de sanções dos EUA.

O OFAC designou o mixer Sinbad em novembro de 2023 e o mixer Yomix em abril de 2025, demonstrando uma dinâmica de gato e rato em que cada ferramenta de lavagem da RPDC enfrenta ação sancionatória eventual que empurra o grupo em direção a nova infraestrutura.

Após a mistura, os fundos são roteados por uma rede de contas de exchange aninhadas, corretores OTC operando em jurisdições sem aplicação efetiva de AML e plataformas peer‑to‑peer. A saída final mais comumente usada tem sido historicamente exchanges que operam no Leste e Sudeste Asiático com aplicação limitada de KYC. Um relatório de 2024 do Painel de Peritos das Nações Unidas sobre a Coreia do Norte relatou especificamente que os lucros de roubos de cripto são uma fonte de financiamento primária para o programa de mísseis balísticos da RPDC, estimando que a receita de cripto financiou cerca de 40% das necessidades de moeda estrangeira para o desenvolvimento de armas de destruição em massa.

Leia também: Ethereum Could Go Near-Zero State Under Buterin’s Most Radical Lean Chain Plan

A Resposta Reguladora e Seus Limites

O governo dos EUA implantou um arsenal substancial contra as operações de cripto da RPDC, incluindo designações do OFAC de carteiras e serviços de mistura, comunicados de atribuição do FBI para hacks específicos e comunicados conjuntos com agências de inteligência aliadas. O Departamento de Justiça indiciou vários operativos nomeados da RPDC, embora a persecução penal seja efetivamente impossível dada a ausência de vias de extradição.

A limitação da resposta dos EUA é estrutural. Sanções sobre endereços de carteira são eficazes apenas contra atores que usam infraestrutura financeira regulada como rampas de saída. Têm efeito mínimo sobre atores sofisticados que roteiam por jurisdições fora do alcance de AML dos EUA. A ação do OFAC contra o Tornado Cash foi significativa e contestada, mas a RPDC se adaptou em poucos meses migrando para infraestrutura alternativa.

O Departamento de Justiça acusou sete hackers militares nomeados da RPDC em conexão com operações de roubo de cripto, mas nenhum enfrentou julgamento. Os indiciamentos funcionam principalmente como ferramentas de atribuição e dissuasão para serviços terceirizados que, de outra forma, poderiam facilitar a movimentação de fundos.

O Grupo de Ação Financeira Internacional (GAFI / FATF), o organismo intergovernamental de padrões de AML, elevou a Coreia do Norte à sua categoria de maior risco e mantém um apelo permanente para que jurisdições membros apliquem diligência reforçada em quaisquer transações com nexo com a RPDC. Mas as recomendações do FATF não são vinculativas, e as jurisdições mais úteis para a RPDC como rampas de saída geralmente não são membros do FATF ou são membros com histórico fraco de implementação.

O Regulamento dos Mercados de Criptoativos da UE, que entrou plenamente em vigor no final de 2024, inclui exigências de travel rule que obrigam a identificação de contrapartes para transferências de cripto acima de determinados limites. Defensores argumentam que isso fecha alguns caminhos de rampa de saída OTC. Críticos observam que as operações da RPDC são sofisticadas o suficiente para contornar requisitos de KYC usando carteiras não hospedadas e jurisdições fora do alcance da UE.

Leia também: Meta’s Muse Image Turns Instagram Into The Raw Material For AI Art

O Que a Análise On-Chain Realmente Mostra

A atribuição de roubos de cripto à Coreia do Norte não é uma afirmação política. Ela se baseia em dados on‑chain verificáveis que podem ser independentemente replicados por qualquer pesquisador com acesso a dados públicos de blockchain e ferramentas de clusterização de carteiras. Entender como essa atribuição funciona é essencial para avaliar sua credibilidade.

Quando a RPDC rouba de um protocolo, a transação inicial é imediatamente visível on‑chain. Os fundos roubados vão para carteiras controladas pelo atacante, que então executam uma sequência de swaps, transações de bridge e operações de mistura. A Elliptic, outra empresa de análise de blockchain, publicou uma metodologia detalhada mostrando que as carteiras da RPDC se agrupam em torno de assinaturas comportamentais, incluindo padrões específicos de tempo, rotas de swap preferidas, quantias características de “poeira” deixadas em carteiras intermediárias e uma tendência a manter fundos roubados em clusters de carteiras por longos períodos antes de movê‑los.

A análise de clusterização de carteiras da Elliptic identificou mais de 15.000 endereços associados a operações de roubo da RPDC, criando um grafo de carteiras interconectadas que analistas forenses usam para rastrear fluxos de fundos mesmo após a mistura.

Os comunicados de atribuição do FBI para hacks específicos, incluindo a violação da Alphapo e o exploit da Atomic Wallet em 2023, baseiam‑se nessa metodologia forense combinada com inteligência de sinais classificada.

A combinação de dados públicos on‑chain e inteligência governamental produziu níveis de confiança em atribuição que superam o que é típico em investigações de crimes cibernéticos tradicionais, em que evidência on‑chain não existe.

Leia também: Saylor Says 3.3% Bitcoin Growth Can Keep Strategy Dividends Alive

O Esquema de Trabalhadores de TI Como Canal Paralelo de Receita

Separadamente das operações de hack, a RPDC conduz um programa paralelo de geração de receita em cripto que recebeu atenção significativa das autoridades em 2024 e 2025. Milhares de cidadãos norte‑coreanos, operando sob identidades falsas usando documentação gerada por IA e tecnologia de vídeo deepfake, conseguiram emprego remoto em empresas de cripto e startups Web3 na América do Norte e Europa.

O Departamento de Justiça indiciou quatorze indivíduos em maio de 2024 por operar um esquema que colocava trabalhadores de TI norte‑coreanos em mais de 300 empresas dos EUA, com os ganhos canalizados de volta para a RPDC.

O indiciamento alegou que trabalhadores individuais ganhavam entre US$ 250.000 e US$ 300.000 anuais, com o esquema total gerando dezenas de milhões de dólares ao longo de vários anos.

O indiciamento do DOJ de maio de 2024 documentou trabalhadores de TI norte‑coreanos ganhando até US$ 300.000 por ano cada em empresas de cripto e tecnologia nos EUA, com fundos remetidos à RPDC por meio de uma rede de facilitadores nos EUA, Reino Unido e China.

O esquema de trabalhadores de TI é particularmente insidioso para a indústria de cripto porque planta acesso interno dentro das equipes de desenvolvimento. Um trabalhador de TI com credenciais legítimas e acesso a repositórios é mais perigoso do que um atacante externo tentando penetrar defesas de perímetro.

Vários pesquisadores de segurança observaram que padrões suspeitos em commits de código, acesso inexplicado a repositórios e horários de trabalho incomuns agora estão sendo tratados como potenciais indicadores de trabalhadores de TI da RPDC por empresas de cripto conscientes de segurança.

A interseção do esquema de trabalhadores de TI e da campanha de engenharia social contra desenvolvedores significa que a superfície de ataque da RPDC contra a indústria de cripto é multidimensional. Hackers externos, desenvolvedores comprometidos por meio de falsas ofertas de emprego e insiders plantados representam todos vetores de ameaça ativos operando simultaneamente.

Leia também: OpenAI Wins GPT-5.6 Approval As Trump Clears Wider AI Rollout

A Resposta Mais Ampla de Segurança da Indústria

A resposta da indústria à ameaça da RPDC tem sido substantiva, mas desigual.

Os protocolos com mais recursos agora conduzem extensas auditorias de segurança pré‑implantação, executam programas de bug bounty com recompensas de seis dígitos e mantêm equipes internas de segurança com experiência em pesquisa ofensiva.

Essa concentração de investimento em segurança no topo da hierarquia de protocolos reflete a mesma lei de potência que governa o cripto em geral.

A Immunefi, a principal plataforma de bug bounty para Web3, relatou pagamentos totais de recompensas de mais de US$ 100 milhões até meados de 2025 — tendo facilitado a identificação de vulnerabilidades que poderiam ter permitido bilhões em perdas potenciais.

O maior pagamento único em sua história foi uma recompensa de US$ 10 milhões a um pesquisador white hat que encontrou uma falha crítica em um grande protocolo DeFi antes que pudesse ser explorada.

Mas essa concentração de gastos com segurança em protocolos de primeira linha deixa projetos menores de DeFi — que ainda controlam coletivamente bilhões em TVL — significativamente subprotegidos.

O problema das bridges cross‑chain, que está no centro de tantos hacks importantes, produziu suas próprias respostas arquiteturais.

A principal delas é a migração para bridges com menos confiança (“trust‑minimized”), usando provas de conhecimento zero para verificar o estado da cadeia de origem sem depender de comitês de validadores.

Projetos incluindo Succinct Labs e Polyhedra Network construíram infraestrutura de light clients de ZK projetada especificamente para eliminar a suposição de comitê confiável que tornou bridges como a Ronin exploráveis.

Seque a infraestrutura de segurança esteja melhorando rápido o suficiente para superar o desenvolvimento de capacidade da RPDC é algo genuinamente incerto.

A participação de 66% no primeiro semestre de 2026 sugere que, mesmo com um investimento substancial da indústria, o atacante está acompanhando o ritmo.

Também leia: SpaceXAI Quer Um Assassino Do Claude Movido A Cursor Antes Mesmo Do Fechamento Do Acordo De US$60 Bi

Implicações Geopolíticas E O Que Vem A Seguir

O roubo de cripto é a fonte mais importante de moeda forte da Coreia do Norte.

Isso não é uma figura de linguagem. Reflete uma realidade operacional documentada — reconhecida pelo Tesouro dos EUA, pelas Nações Unidas e por serviços de inteligência aliados.

O Painel de Especialistas da ONU estimou os lucros com roubos de cripto pela RPDC em aproximadamente US$ 3 bilhões entre 2017 e 2023, com o ritmo acelerando nos anos seguintes.

Os fundos não desaparecem em um tesouro do regime em qualquer sentido convencional.

Eles fluem diretamente para programas de armamento — particularmente para os esforços de miniaturização de ogivas nucleares e de mísseis balísticos que representam a principal prioridade estratégica de Pyongyang.

Cada dólar roubado de um protocolo DeFi potencialmente se traduz em capacidade material e técnica para sistemas de armas que planejadores de defesa dos EUA, da Coreia do Sul e do Japão modelam ativamente em suas avaliações de ameaças.

O Painel de Especialistas da ONU vinculou diretamente aqueles US$ 3 bilhões em roubos entre 2017 e 2023 ao financiamento de programas de armas — tornando a segurança em blockchain um componente vivo dos cálculos de segurança regional no Nordeste Asiático.

Leia em seguida: 5 Rivais Mais Baratos Que Fable 5: Não Pague Caro Demais Pelo Trabalho Diário Com IA

Considerações Finais

A cifra de participação de 66,2% do primeiro semestre de 2026 não é uma curiosidade estatística.

É um sinal sobre o estado atual da disputa entre um dos programas cibernéticos estatais mais capazes do mundo e uma indústria que historicamente priorizou velocidade de chegada ao mercado em detrimento da segurança operacional.

A trajetória dessa disputa — indo de hacks oportunistas a exchanges em 2017, passando pela violação da ponte Ronin em 2022, até a atual campanha multivetorial que mira desenvolvedores, pontes e insiders simultaneamente — mostra um agente de ameaça que aprende, se adapta e escala mais rápido do que o investimento defensivo da indústria conseguiu conter.

Os fatores estruturais que favorecem a RPDC não vão desaparecer no curto prazo.

A Coreia do Norte possui uma força de trabalho cibernética institucional sem tentações do setor privado, sem prestação de contas pública e com um mandato estatal para gerar receita por quaisquer meios disponíveis.

A indústria cripto, em contraste, tem um cenário de segurança difuso. Os protocolos mais valiosos estão cada vez mais bem defendidos — mas a longa cauda de projetos DeFi menores permanece sistematicamente com poucos recursos.

E as pontes cross-chain, a infraestrutura que conecta as ilhas de liquidez do ecossistema, continuam arquitetonicamente complexas de maneiras que criam suposições exploráveis persistentes.

Disclaimer e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e baseiam-se na opinião do autor. Não constituem aconselhamento financeiro, de investimento, legal ou fiscal. Os ativos de criptomoeda são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou deter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou executivos. Sempre conduza a sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Roubo de Cripto Alcança Nova Escala, Coreia do Norte Leva Dois Terços | Yellow.com