Hackers ligados à Coreia do Norte são suspeitos de roubar US$ 578 milhões em abril após ataque à Kelp DAO

Seul, 30 abr. – Investigações apontam que grupos de hackers associados ao governo da Coreia do Norte podem ter alcançado ao menos US$ 578 milhões em criptomoedas roubadas somente em abril, impulsionados pelo ataque de US$ 292 milhões contra a plataforma Kelp DAO, realizado no sábado (27).

Como ocorreu a invasão à Kelp DAO

A Kelp DAO atribuiu a violação a uma falha na infraestrutura de mensagens de cadeia cruzada da LayerZero. De acordo com a empresa, o uso de um único verificador para aprovar mensagens entre redes abriu brecha para que os invasores movimentassem ativos sem autorização.

Em nota, a LayerZero informou que indícios preliminares ligam o incidente ao TraderTraitor, subgrupo do Lazarus Group, unidade de hackers patrocinada por Pyongyang. A análise do investigador de blockchain conhecido como Tanuki42 chegou à mesma conclusão e mostrou que parte dos valores desviados foi misturada a fundos de ataques anteriores atribuídos ao mesmo grupo.

Escalada de ataques em abril

Antes da invasão à Kelp DAO, o maior golpe de 2024 havia sido o de 1º de abril contra a exchange descentralizada Drift, que causou prejuízo estimado em US$ 285 milhões. Somados, os dois episódios elevam para pelo menos US$ 578 milhões o montante associado a hackers norte-coreanos no mês.

Os valores roubados também se entrelaçaram a carteiras ligadas ao hack de US$ 1,4 bilhão contra a Bybit, em fevereiro de 2025, segundo Tanuki42.

Tática de infiltração em empresas de tecnologia

Agências de segurança afirmam que operadores norte-coreanos se passam por desenvolvedores independentes para conseguir trabalho remoto em empresas de tecnologia e, assim, financiar programas de armas do país. Entre as medidas de contenção, o Departamento do Tesouro dos EUA sancionou, em março, seis pessoas e duas entidades envolvidas nesses esquemas. Já o FBI publicou recomendações em junho, orientando empregadores a checar o histórico profissional de candidatos e exigir reuniões presenciais.

Contudo, o ataque à Drift indica evolução nas táticas: representantes do projeto relataram que foram abordados pessoalmente, em novembro, por supostos integrantes de uma firma de trading quantitativo durante uma conferência de criptomoedas. O contato presencial foi mantido até a invasão.

Operações menores continuam a ocorrer. A fornecedora de carteiras Zerion informou que golpistas ligados à Coreia do Norte usaram engenharia social assistida por inteligência artificial para furtar cerca de US$ 100 mil em outro episódio.

Imagem: cointelegraph.com

Repercussões no varejo e dados do FBI

O Relatório IC3 2025 do FBI registrou aumento de 21 % nas queixas envolvendo criptoativos: foram 181.565 denúncias, com perdas de US$ 11,37 bilhões, mais da metade do total de prejuízos cibernéticos no ano. Pessoas com 60 anos ou mais lideraram as reclamações. Somente golpes de investimento representaram 61.559 registros, dos quais 13.685 partiram desse grupo etário.

Investigações também identificaram o recrutamento de intermediários para burlar sistemas de verificação. O analista de ciberameaças Heiner García relatou ter sido procurado em 2025 por um operador suspeito que tentou usar seu computador, via software de acesso remoto, para driblar restrições de localização impostas por plataformas de trabalho.

Casos semelhantes resultaram em prisões nos Estados Unidos. Em agosto de 2024, Matthew Isaac Knoot foi detido por manter um “laboratório de laptops” que permitia a hackers norte-coreanos fingir que trabalhavam em solo americano com identidades roubadas. Em julho de 2025, Christina Chapman foi condenada a mais de oito anos de prisão por ajudar esses trabalhadores a lucrar mais de US$ 17 milhões.

Congelamento de fundos pela Arbitrum levanta debate

No episódio da Kelp DAO, o Conselho de Segurança da Arbitrum congelou 30.766 ETH ligados ao ataque. A medida evitou novas perdas, mas reacendeu discussão sobre a tensão entre descentralização e intervenção de governança. Em contraste, a Circle foi criticada por não bloquear valores em USDC durante o hack da Drift.

Especialistas observam que, ao explorar falhas de infraestrutura e configuração, e não apenas erros em contratos inteligentes, os grupos apoiados pela Coreia do Norte mostram capacidade de atacar em várias frentes, forçando projetos a escolher entre intervir ou aceitar prejuízos irrecuperáveis.