Hackers norte-coreanos roubaram quase três quartos de toda a criptomoeda levada por cibercriminosos até agora este ano – não através de uma campanha implacável de ataques, mas sim através de dois assaltos precisamente executados visando plataformas de finanças descentralizadas em abril, de acordo com um novo relatório da empresa de inteligência blockchain TRM Labs.

Os dois incidentes—uma violação de US$ 285 milhões do Drift Protocol em 1º de abril e uma exploração de US$ 292 milhões do Kelp DAO em 18 de abril—juntos representam 76% de todas as perdas por hacks de cripto rastreadas até abril, apesar de representarem apenas 3% do número total de incidentes registrados.

No total, a TRM Labs estima que hackers ligados à Coreia do Norte roubaram mais de US$ 6 bilhões de protocolos e projetos de cripto desde 2017, incluindo alguns dos piores assaltos da história da indústria.

Os números refletem uma concentração acelerada de roubos de criptomoedas por agentes norte-coreanos ligados ao Estado. A participação de Pyongyang nas perdas totais de hacks de cripto cresceu de menos de 10% em 2020 e 2021 para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. O valor de 76% em 2026 até abril é a maior participação sustentada já registrada.

O ataque ao Drift Protocol foi notável pela sua paciência. A preparação on-chain começou em 11 de março, e a campanha envolveu reuniões presenciais entre representantes norte-coreanos e funcionários do Drift durante um período de meses—uma tática que analistas da TRM descreveram como potencialmente sem precedentes na longa campanha de hacking de cripto da Coreia do Norte.

Os atacantes exploraram um recurso do Solana chamado nonce durável, que permite que transações pré-assinadas sejam mantidas e implementadas posteriormente. Em 1º de abril, 31 saques foram executados em aproximadamente 12 minutos, drenando ativos reais, incluindo USDC e JLP. Os fundos roubados foram rapidamente movidos para Ethereum e permaneceram dormentes desde então.

O ataque ao Kelp DAO seguiu um caminho diferente. Os atacantes comprometeram dois nós RPC internos e então lançaram um ataque de negação de serviço contra nós externos, forçando o único verificador da ponte a depender das fontes de dados comprometidas. Esses nós relataram falsamente que o ativo subjacente havia sido queimado na cadeia de origem quando nenhuma ação desse tipo havia ocorrido, e aproximadamente 116.500 rsETH—avaliados em cerca de US$ 292 milhões—foram drenados do contrato da ponte Ethereum.

Após o roubo do Kelp DAO, o Conselho de Segurança da Arbitrum exerceu poderes de emergência para congelar aproximadamente US$ 75 milhões dos fundos roubados que haviam sido deixados na rede—uma intervenção rara que provocou uma rápida resposta de lavagem. Aproximadamente US$ 175 milhões em ETH foram então trocados para Bitcoin, principalmente através da THORChain, um protocolo de liquidez cross-chain sem exigência de KYC (know-your-customer).

A THORChain processou a vasta maioria dos lucros tanto da violação da Bybit em 2025—o pior roubo da história da indústria, com mais de US$ 1,4 bilhão em cripto roubado—quanto do hack do Kelp DAO em 2026, convertendo centenas de milhões de ETH roubados em Bitcoin sem nenhum operador disposto a congelar ou rejeitar as transferências.

Analistas da TRM observaram que o grupo parece estar aprimorando suas ferramentas: Analistas começaram a especular que operadores norte-coreanos estão incorporando ferramentas de IA em seus fluxos de trabalho de reconhecimento e engenharia social, um desenvolvimento consistente com a crescente precisão de ataques como o Drift, que exigiram semanas de manipulação direcionada de complexos mecanismos de blockchain.