- Hackers ligados à Coreia do Norte roubaram US$ 577 milhões nos quatro primeiros meses de 2026, correspondentes a 76% das perdas globais no setor.
- Os dois ataques que concentraram esse montante foram Drift Protocol, com US$ 285 milhões, e KelpDAO, com US$ 292 milhões.
- O ataque ao Drift Protocol ocorreu em 1º de abril, após a migração do Security Council para configuração 2 de 5; a operação envolveu pré-assinaturas e saques em cerca de 12 minutos.
- No caso da KelpDAO, houve exploração de uma falha na verificação de uma ponte LayerZero, com aproximadamente 116,5 mil rsETH saqueados; o ataque é atribuído ao grupo TraderTraitor, ligado ao Lazarus.
- A movimentação dos recursos variou: Drift enviou fundos para Ethereum e manteve-os em grande parte parados; KelpDAO viu parte dos ativos passar por Arbitrum e, depois, ser convertida em ETH e depois em Bitcoin via THORChain.
Dois ataques de alto valor registrados em abril impulsionaram a Coreia do Norte a responder por 76% das perdas globais com hacks cripto nos primeiros quatro meses de 2026. Segundo a TRM Labs, hackers ligados ao regime roubaram US$ 577 milhões entre janeiro e abril, concentrados em apenas dois incidentes: Drift Protocol e KelpDAO.
O ataque ao Drift Protocol resultou em perdas de US$ 285 milhões, enquanto o golpe contra a KelpDAO somou US$ 292 milhões. Juntos, representaram cerca de 3% do total de incidentes no período, mas excederam três quartos do valor roubado no mercado cripto.
A TRM aponta uma característica recorrente: ataques a poucos alvos de alto valor, com operações complexas e planejamento prévio, diferentemente de ações em grande quantidade. As perdas atribuídas à Coreia do Norte somam mais de US$ 6 bilhões desde 2017.
Até abril, a participação norte-coreana em perdas globais cresceu: menos de 10% em 2020–2021, 22% em 2022, 37% em 2023, 39% em 2024, 64% em 2025 e 76% nos quatro primeiros meses de 2026, o maior nível já registrado pela empresa.
Drift Protocol: engenharia social e governança comprometida
A TRM indica que o Drift foi atacado por um subgrupo ligado ao Lazarus Group, mas distinto do TraderTraitor. A operação envolveu meses de engenharia social e reuniões presenciais com funcionários do Drift.
A preparação técnica começou em 11 de março. Invasores criaram contas de “durable nonce” na Solana e induziram o Security Council multisig do Drift a pré-autorizar operações para uso no ataque.
Em 1º de abril, após migração do Security Council para configuração 2 de 5 sem período de espera, ocorreram 31 saques pré-assinados em cerca de 12 minutos. Os recursos foram drenados, convertidos e moveram-se para a Ethereum, onde permanecem em grande parte parados.
KelpDAO: falha de ponte e lavagem de recursos
No caso da KelpDAO, hackers exploraram uma falha na ponte LayerZero, comprometeram nós RPC internos e manipularam dados da blockchain com validação fraudulenta.
A atividade resultou em saque de aproximadamente 116,5 mil rsETH, avaliados em US$ 292 milhões. O ataque é atribuído ao TraderTraitor, ligado ao Lazarus, com participação de infraestruturas associadas a intermediários chineses e roubos anteriores.
Movimentação dos recursos e rota de lavagem
No Drift, os fundos seguiram para Ethereum e permaneceram majoritariamente estagnados, sugerindo planejamento de liquidação gradual ao longo do tempo.
Na KelpDAO, a movimentação foi mais rápida. Parte dos ativos ficou na Arbitrum; cerca de US$ 75 milhões foram congelados pelo Security Council da rede. Em seguida, US$ 175 milhões foram convertidos em ETH e, principalmente via THORChain, para Bitcoin.
A TRM indica que a THORChain voltou a ser rota relevante para recursos desviados pela Coreia do Norte, incluindo incidentes anteriores como o de 2025 na Bybit. No momento, a lavagem é promovida via intermediários chineses, e não apenas pelos norte-coreanos.
Contexto e relevância
A análise destaca que o problema não é apenas o volume, mas a sofisticação das operações. Grupos ligados à Coreia do Norte vêm priorizando pontes entre blockchains, governanças com várias assinaturas e infraestrutura cross-chain, permanecendo como alvo crítico para o mercado cripto global.
Entre na conversa da comunidade