Hackers ligados à Coreia do Norte responderam por 76% do valor roubado em ataques cripto em 2026, segundo a TRM Labs. Apenas dois casos, Drift e KelpDAO, somaram US$ 577 milhões e mostram uma mudança para golpes mais precisos e sofisticados.
Hackers associados à Coreia do Norte já concentram 76% de todo o valor perdido em golpes e invasões cripto em 2026, de acordo com relatório da TRM Labs publicado em 30 de abril. O dado chama atenção porque não veio de uma onda ampla de ataques, mas de apenas dois incidentes: o roubo de US$ 285 milhões no Drift Protocol e a exploração de US$ 292 milhões na KelpDAO.
Juntos, os dois casos somam US$ 577 milhões e representam só 3% da quantidade de incidentes registrados no ano, mas a maior parte do prejuízo financeiro. Para o investidor e para protocolos DeFi, o recado é direto: o risco deixou de ser apenas código vulnerável e passou a incluir engenharia social prolongada, comprometimento de assinaturas e rotas de lavagem cada vez mais rápidas.
Dois ataques concentraram quase todo o prejuízo
Segundo a TRM Labs, grupos norte-coreanos já acumularam mais de US$ 6 bilhões em roubos cripto atribuídos desde 2017. A participação desses grupos nas perdas globais também vem crescendo: saiu de menos de 10% em 2020 e 2021 para 64% em 2025, antes de atingir 76% no acumulado de 2026 até abril.
O relatório afirma que a Coreia do Norte não está necessariamente atacando com mais frequência. A diferença está na precisão dos alvos. Em vez de campanhas em massa, os operadores parecem focar poucos protocolos de alto valor, com preparação mais longa e execução mais concentrada.
No caso do Drift Protocol, a TRM aponta uma campanha que teria começado antes da movimentação on-chain. O ataque envolveu meses de engenharia social, inclusive encontros presenciais com pessoas ligadas ao protocolo, além de uma preparação técnica iniciada em março. A drenagem final teria ocorrido em cerca de 12 minutos, com 31 saques executados em sequência.
Drift expõe risco de engenharia social no DeFi
O caso Drift é relevante porque mostra um vetor mais difícil de mitigar apenas com auditoria de smart contracts. Segundo a TRM, os invasores exploraram uma funcionalidade nativa da Solana chamada durable nonce, que permite manter transações pré-assinadas válidas por tempo prolongado. Esse mecanismo, usado em cenários legítimos de assinatura offline, teria sido combinado com uma configuração multisig sem timelock.
A análise também cita a criação de um ativo fictício, o CarbonVote Token, inflado por wash trading e tratado por oráculos como colateral legítimo. Na prática, a operação misturou manipulação social, falhas de governança e engenharia de mercado, em vez de depender apenas de uma brecha isolada de código.
Esse padrão ajuda a explicar por que ataques recentes têm causado efeitos em cascata no ecossistema DeFi. Como o CriptoBR mostrou na cobertura sobre o hack na KelpDAO que travou rsETH em 20 redes, perdas em pontes e derivativos líquidos podem afetar usuários muito além do protocolo atacado.
KelpDAO reacende alerta sobre pontes e lavagem
No ataque à KelpDAO, a TRM afirma que os invasores exploraram uma falha de desenho em uma ponte baseada em LayerZero, com um modelo de verificação concentrado em um único validador. Parte dos recursos foi congelada na Arbitrum, mas os operadores teriam migrado para rotas de liquidez via THORChain para converter ETH roubado em Bitcoin.
O episódio conecta duas discussões importantes para o mercado: segurança de pontes cross-chain e responsabilidade de infraestruturas que processam liquidez de origem ilícita. A TRM observa que a THORChain também teve papel relevante na movimentação de recursos do ataque à Bybit em 2025, o maior hack cripto já registrado.
A resposta do mercado, porém, não depende só de bloqueios emergenciais. No caso da KelpDAO, protocolos e equipes de infraestrutura tentaram conter danos depois da exploração, como relatamos na matéria sobre a Arbitrum congelando US$ 71 milhões em ETH ligado ao hack e na análise sobre a participação da Aave no resgate DeFi após o ataque.
O que muda para protocolos e usuários
Para protocolos, o relatório reforça a necessidade de controles operacionais fora do smart contract: timelocks em multisigs, separação de funções, revisão de oráculos, simulações de incidentes e treinamento contra engenharia social. A segurança deixa de ser apenas uma questão técnica e passa a envolver pessoas, processos e governança.
Para usuários, o ponto principal é entender que rendimento alto em DeFi pode embutir risco de infraestrutura. Bridges, wrappers, tokens líquidos e protocolos integrados entre várias redes criam dependências difíceis de enxergar. Quando uma peça quebra, o impacto pode aparecer em ativos que, à primeira vista, pareciam distantes do ataque original.
A TRM afirma que sua Beacon Network, composta por mais de 30 membros entre exchanges e protocolos DeFi, permite alertas rápidos quando fundos ligados à Coreia do Norte chegam a instituições participantes. Ainda assim, a própria escala dos dois ataques mostra que prevenção e contenção continuam correndo atrás de adversários cada vez mais sofisticados.
Mauro Andrade cobre cripto internacional, geopolítica digital e mercado global no CriptoBR. Acompanha movimentos regulatórios nos EUA, Europa e Ásia, adoção institucional por grandes players (BlackRock, Fidelity, JPMorgan) e o impacto geopolítico das criptomoedas no cenário financeiro mundial.
