Atores norte-coreanos extraíram aproximadamente US$ 577 milhões nos primeiros quatro meses de 2026, um valor que representa 76% de todas as perdas globais por hacks de criptomoedas durante o período, de acordo com a empresa de inteligência blockchain TRM Labs.

As perdas resultam de dois incidentes em abril, incluindo o exploit da KelpDAO de US$ 292 milhões e o ataque ao Drift Protocol de US$ 285 milhões, que, segundo a TRM, representaram 3% do total de incidentes de hack em 2026 até abril. 

De acordo com o relatório, o ataque ao Drift veio de um subgrupo norte-coreano separado do TraderTraitor, a operação bem documentada afiliada ao Lazarus, embora a atribuição específica permaneça sob investigação. A violação da KelpDAO foi obra do TraderTraitor, afirmou. 

O hack do Drift envolveu meses de reuniões presenciais entre representantes norte-coreanos e funcionários do Drift, disse a equipe da TRM, observando que a preparação do ataque começou já em 11 de março, antes que o invasor criasse contas nonce duráveis na Solana e induzisse os signatários multisig do Conselho de Segurança do Drift a pré-autorizar transações. 

O atacante então, em 1º de abril, dias depois que o Drift havia migrado seu Conselho de Segurança para uma nova configuração de limite 2/5 com zero timelock, implantou 31 saques pré-assinados para drenar os fundos em uma fase de execução rápida que durou aproximadamente 12 minutos, acrescentou a equipe. Os fundos foram posteriormente transferidos (bridged) para o Ethereum, onde permaneceram em grande parte inativos desde então.

Enquanto isso, o ataque à KelpDAO seguiu um caminho técnico diferente, explorando um design de verificador único em uma bridge LayerZero, comprometendo a infraestrutura RPC e manipulando a lógica de validação cross-chain, conforme o relatório. 

A TRM disse que os atacantes drenaram aproximadamente 116.500 rsETH depois de forçar a verificação a falhar em nós comprometidos, com a subsequente lavagem roteada através de infraestrutura cross-chain, incluindo a THORChain, após congelamentos parciais de ativos na Arbitrum.

A participação da Coreia do Norte em roubos de cripto acelera

A equipe da TRM disse que a participação da Coreia do Norte nas perdas globais por hacks de cripto “acelerou” em vez de estagnar, subindo de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O roubo cumulativo atribuído agora excede US$ 6 bilhões desde 2017.

A empresa apontou para a violação da Bybit de US$ 1,46 bilhão em 2025 como um ponto de inflexão chave no perfil de atividade recente da Coreia do Norte. Desde então, a TRM disse que o ritmo operacional permaneceu consistente, com grupos de elite priorizando ataques menos numerosos, mas de maior impacto, visando bridges, sistemas de governança multisig e infraestrutura cross-chain.

A TRM disse que os incidentes do Drift e KelpDAO destacam abordagens de lavagem divergentes. Um grupo associado ao Drift deixou os ativos em grande parte inativos após a ponte inicial para o Ethereum e provavelmente “manterá os lucros por meses ou anos, e depois executará uma retirada estruturada e multifásica”.

Os atacantes da KelpDAO, por sua vez, moveram fundos mais rapidamente através de swaps cross-chain para Bitcoin via THORChain, com a fase de lavagem em andamento sendo amplamente gerenciada por intermediários chineses, e não pelos próprios norte-coreanos, de acordo com a TRM. 

As prioridades de monitoramento de compliance delineadas pela TRM incluem fluxos ligados à THORChain de ambientes de bridge comprometidos, rastreamento de transações multi-hop através da infraestrutura de bridge e triagem de caminhos de depósito relacionados à governança da Solana envolvendo transações de nonce duráveis. 

A empresa também destacou a participação da Beacon Network em exchanges e protocolos DeFi como um mecanismo para acelerar o alerta entre plataformas uma vez que endereços ligados à Coreia do Norte sejam identificados.