## 2025年 é um "Ano de Abundância" para os cibercriminosos da Coreia do Norte: o valor roubado atinge recordes e a lavagem de dinheiro mostra um ciclo de aproximadamente 45 dias

À medida que a indústria de criptomoedas cresce rapidamente, as ameaças à segurança também se tornam mais complexas. Em particular, os roubos de ativos digitais por grupos de hackers da Coreia do Norte atingiram níveis recordes em 2025. Segundo a análise mais recente da Chainalysis, os incidentes de roubo neste ano não só causaram um impacto significativo em toda a indústria, como também evidenciaram uma evolução nas táticas dos atacantes, que se tornaram mais sofisticadas.

### Valor recorde roubado: prejuízo superior a 2,02 bilhões de dólares

Em 2025, as criptomoedas roubadas por hackers norte-coreanos atingiram pelo menos 2,02 bilhões de dólares, representando um aumento de 51% em relação a 2024. Ao mesmo tempo, o valor total roubado ultrapassou a marca de 6,75 bilhões de dólares.

Curiosamente, embora o número de ataques tenha diminuído, o valor roubado por incidente aumentou significativamente. Essa tendência sugere que os hackers estão mudando para uma estratégia de "pequenos grupos de elite". Reduzindo a frequência de ataques, eles focam em alvos maiores, roubando uma quantidade maior de ativos.

De acordo com os dados, entre janeiro e início de dezembro de 2025, o valor total roubado na indústria de criptomoedas ultrapassou 3,4 bilhões de dólares, sendo que alguns grandes incidentes de hacking representaram 69% do prejuízo total. A diferença entre o maior roubo e a média dos incidentes aumentou de forma sem precedentes, chegando a até 1000 vezes.

### Evolução das táticas de ataque: de infiltração interna a fraudes de recrutamento

A razão pela qual os hackers norte-coreanos continuam sendo a maior ameaça à indústria de criptomoedas não se limita apenas à sua habilidade técnica. Seus métodos de ataque evoluíram ao longo do tempo, migrando para abordagens mais socialmente engenhosas.

Antes, os hackers simplesmente se candidatavam a empregos para se infiltrar como funcionários e obter acessos privilegiados. Agora, eles adotam estratégias mais avançadas, fingindo ser recrutadores de empresas renomadas de Web3 ou IA, conduzindo processos seletivos falsos para obter credenciais de login, código fonte e até acessos VPN de empregadores.

Para atingir executivos, eles se passam por investidores ou compradores falsos, extraindo informações confidenciais durante reuniões estratégicas ou processos de due diligence. Essa estratégia de ataque em múltiplas camadas demonstra que a Coreia do Norte não é apenas uma ameaça técnica, mas um Estado criminoso organizado no ciberespaço.

### Padrões únicos na lavagem de dinheiro: ciclo de aproximadamente 45 dias

A rapidez e eficiência na conversão dos fundos roubados em dinheiro vivo são igualmente cruciais para os hackers. As atividades de lavagem de dinheiro da Coreia do Norte apresentam um padrão claramente distinto de outros grupos criminosos.

Particularmente, destaca-se a forte dependência de serviços de lavagem de dinheiro em chinês e de operadores OTC. Isso sugere uma colaboração estreita entre os hackers norte-coreanos e redes ilegais na região Ásia-Pacífico. Além disso, o uso frequente de pontes entre blockchains e protocolos de mixagem é comum, adotando uma abordagem em múltiplas etapas para dificultar o rastreamento.

Segundo análises, após grandes incidentes de roubo, os fundos roubados passam por um ciclo estruturado de lavagem de aproximadamente 45 dias:

**Primeira fase (0–5 dias): dispersão imediata**
Nos primeiros dias, os atacantes transferem os fundos roubados para protocolos DeFi e serviços de mixagem. A atividade nesta fase aumenta mais de três vezes em relação ao normal.

**Segunda fase (6–10 dias): integração inicial**
Os fundos são movidos para plataformas de troca com requisitos de KYC mais brandos e para CEXs. Paralelamente, pontes entre blockchains são utilizadas para dispersar os fundos entre várias redes.

**Terceira fase (20–45 dias): fase final**
Os fundos são concentrados em serviços que possibilitam a conversão final em dinheiro. Plataformas em chinês e serviços de garantia são amplamente utilizados. Nessa etapa, os fundos já estão misturados como ativos legítimos.

Esse padrão, repetido ao longo de vários anos, sugere que a Coreia do Norte enfrenta limitações operacionais. O acesso restrito à infraestrutura financeira e a dependência de intermediários específicos podem estar criando essa linha do tempo previsível.

### Ameaças aos usuários individuais aumentam rapidamente

Enquanto as medidas de segurança se fortalecem, os ataques a carteiras pessoais, na verdade, aumentaram. Em 2025, os incidentes de roubo atingiram 158.000, quase triplicando os 54.000 de 2022. O número de vítimas também dobrou, passando de 40.000 para 80.000.

Curiosamente, embora o número total de incidentes aumente, o valor médio roubado por vítima diminui. Em 2024, o prejuízo total foi de 1,5 bilhão de dólares, enquanto em 2025 caiu para 713 milhões de dólares. Isso indica uma mudança na estratégia dos atacantes, que continuam mirando usuários individuais, mas extraem quantidades menores por incidente.

Análises por blockchain mostram que as taxas de roubo em Ethereum e Tron são particularmente altas. O Ethereum concentra mais prejuízos devido ao seu grande número de usuários, enquanto o Tron, apesar de ter menos usuários, apresenta uma taxa de roubo relativamente elevada.

### Melhoria na segurança DeFi: casos de sucesso excepcionais

Um fenômeno interessante é a melhora na segurança do DeFi. Apesar da recuperação significativa do valor total bloqueado (TVL), as perdas por hacking permanecem em níveis baixos, indicando que os protocolos DeFi adotaram medidas de segurança eficazes.

Um exemplo é o incidente do protocolo Venus em setembro de 2025. Os atacantes obtiveram acesso ao sistema por meio de um cliente Zoom comprometido, tentando conceder a si próprios uma autorização de 13 milhões de dólares. No entanto, a plataforma de monitoramento de segurança do Venus, implementada pouco antes, detectou atividades suspeitas, e o ataque foi identificado 18 horas antes.

A resposta foi rápida: o protocolo foi pausado em 20 minutos, parcialmente restaurado em 5 horas, as posições dos atacantes foram liquidadas em 7 horas, e todos os fundos roubados foram recuperados em 12 horas. Além disso, o Venus aprovou uma proposta de governança para congelar ativos no valor de 3 milhões de dólares sob controle dos atacantes.

Este incidente demonstra que a infraestrutura de segurança do DeFi evoluiu substancialmente. Monitoramento ativo, mecanismos de resposta ágil e governança eficazes estão construindo sistemas robustos diferentes do início da era DeFi.

### Desafios para 2026: além da Lei de Willie Sutton

A redução dos ataques da Coreia do Norte em 2025 não significa uma diminuição das ameaças. Pelo contrário, indica que eles estão se tornando mais difíceis de detectar e mais sofisticados. A atual redução de 74% nos ataques conhecidos, enquanto o valor roubado atinge recordes, sugere que há ainda muitas atividades não detectadas.

As ações dos hackers norte-coreanos não se limitam à busca por lucro financeiro; elas têm como objetivo estratégico o financiamento do Estado e a evasão de sanções internacionais. Seus padrões de comportamento diferem fundamentalmente dos criminosos tradicionais.

Para a indústria de criptomoedas, o desafio de 2026 será aprimorar a capacidade de detectar e impedir esses ataques altamente organizados com antecedência. Identificar padrões únicos de lavagem de dinheiro da Coreia do Norte, prevenir infiltrações internas e fortalecer as defesas contra ataques de engenharia social serão prioridades urgentes.