O Roubo de Cripto de US$ 3,4 Bilhões do Lazarus Group: Uma Nova Era do Cibercrime Patrocinado pelo Estado

Os números são impressionantes: $ 3,4 bilhões roubados de plataformas de criptomoeda em 2025, com um único Estado-nação responsável por quase dois terços do total. O Lazarus Group da Coreia do Norte não apenas quebrou recordes — eles reescreveram as regras do cibercrime patrocinado pelo Estado, executando menos ataques enquanto extraíam um valor exponencialmente maior. Ao entrarmos em 2026, a indústria de criptomoedas enfrenta uma verdade desconfortável: os paradigmas de segurança dos últimos cinco anos estão fundamentalmente falhos.

O Despertar de $ 3,4 Bilhões

A empresa de inteligência em blockchain Chainalysis divulgou seu relatório anual de crimes cripto em dezembro de 2025, confirmando o que os especialistas do setor temiam. O roubo total de criptomoedas atingiu $ 3,4 bilhões, com hackers norte-coreanos reivindicando $ 2,02 bilhões — um aumento de 51 % em relação ao recorde de $ 1,34 bilhão de 2024. Isso eleva o total acumulado de roubos de criptomoedas da RPDC para aproximadamente $ 6,75 bilhões.

O que torna o roubo de 2025 sem precedentes não é apenas o valor em dólares. É a eficiência. Os hackers norte-coreanos alcançaram esse valor recorde através de 74 % menos ataques conhecidos do que nos anos anteriores. O Lazarus Group evoluiu de um agente de ameaça disperso para um instrumento de precisão de guerra financeira.

A TRM Labs e a Chainalysis verificaram independentemente esses números, com a TRM observando que o crime cripto se tornou "mais organizado e profissionalizado" do que nunca. Os ataques são mais rápidos, melhor coordenados e muito mais fáceis de escalar do que nos ciclos anteriores.

O Assalto à Bybit: Uma Aula Magna em Ataques de Cadeia de Suprimentos

Em 21 de fevereiro de 2025, o mundo das criptomoedas testemunhou o maior roubo individual da história. Hackers drenaram aproximadamente 401.000 ETH — no valor de $ 1,5 bilhão na época — da Bybit, uma das maiores exchanges de criptomoedas do mundo.

O ataque não foi uma violação de força bruta ou uma exploração de contrato inteligente. Foi um comprometimento magistral da cadeia de suprimentos. O Lazarus Group — operando sob o codinome "TraderTraitor" (também conhecido como Jade Sleet e Slow Pisces) — visou um desenvolvedor da Safe{Wallet}, a popular provedora de carteiras multi-assinatura. Ao injetar código malicioso na interface do usuário da carteira, eles contornaram inteiramente as camadas tradicionais de segurança.

Em 11 dias, os hackers lavaram 100 % dos fundos roubados. O CEO da Bybit, Ben Zhou, revelou no início de março que haviam perdido o rastro de quase $ 300 milhões. O FBI atribuiu oficialmente o ataque à Coreia do Norte em 26 de fevereiro de 2025, mas, àquela altura, os fundos já haviam desaparecido em protocolos de mixagem e serviços de ponte.

O hack da Bybit sozinho foi responsável por 74 % dos roubos de criptomoedas da Coreia do Norte em 2025 e demonstrou uma evolução assustadora nas táticas. Como observou a empresa de segurança Hacken, o Lazarus Group mostrou "preferências claras por serviços de lavagem de dinheiro em língua chinesa, serviços de ponte e protocolos de mixagem, com um ciclo de lavagem de 45 dias após grandes roubos".

O Manual do Lazarus: Do Phishing à Infiltração Profunda

As operações cibernéticas da Coreia do Norte passaram por uma transformação fundamental. Longe vão os dias de simples ataques de phishing e comprometimentos de carteiras quentes. O Lazarus Group desenvolveu uma estratégia multifacetada que torna a detecção quase impossível.

A Estratégia Wagemole

Talvez a tática mais insidiosa seja o que os pesquisadores chamam de "Wagemole" — infiltrar trabalhadores de TI disfarçados dentro de empresas de criptomoeda em todo o mundo. Sob identidades falsas ou através de empresas de fachada, esses agentes obtêm acesso legítimo aos sistemas corporativos, incluindo firmas de cripto, custodiantes e plataformas Web3.

Essa abordagem permite que os hackers contornem totalmente as defesas de perímetro. Eles não estão invadindo — eles já estão dentro.

Exploração Impulsionada por IA

Em 2025, grupos patrocinados por Estados começaram a usar inteligência artificial para potencializar cada etapa de suas operações. A IA agora varre milhares de contratos inteligentes em minutos, identifica códigos exploráveis e automatiza ataques multi-chain. O que antes exigia semanas de análise manual agora leva horas.

A análise da Coinpedia revelou que os hackers norte-coreanos redefiniram o crime cripto por meio da integração de IA, tornando suas operações mais escaláveis e difíceis de detectar do que nunca.

Personificação de Executivos

A mudança de explorações puramente técnicas para ataques baseados no fator humano foi uma tendência definidora de 2025. Empresas de segurança observaram que "perdas atípicas foram esmagadoramente devidas a falhas de controle de acesso, não a novas matemáticas on-chain". Os hackers passaram de front-ends envenenados e truques de interface multisig para a personificação de executivos e roubo de chaves.

Além da Bybit: O Cenário de Hacks em 2025

Embora a Bybit tenha dominado as manchetes, as operações da Coreia do Norte se estenderam muito além de um único alvo:

• DMM Bitcoin (Japão): $ 305 milhões roubados, contribuindo para o encerramento eventual da exchange
• WazirX (Índia): $ 235 milhões drenados da maior exchange de criptomoedas da Índia
• Upbit (Coreia do Sul): $ 36 milhões apreendidos através da exploração da infraestrutura de assinatura no final de 2025

Esses não foram incidentes isolados — eles representaram uma campanha coordenada visando exchanges centralizadas, plataformas de finanças descentralizadas e provedores de carteiras individuais em várias jurisdições.

Contagens independentes identificaram mais de 300 incidentes de segurança de grande porte ao longo do ano, destacando vulnerabilidades sistêmicas em todo o ecossistema de criptomoedas.

A Conexão Huione: A Máquina de Lavagem de $ 4 Bilhões do Camboja

No lado da lavagem de dinheiro, a Financial Crimes Enforcement Network (FinCEN) do Tesouro dos EUA identificou um nó crítico nas operações da Coreia do Norte: o Huione Group, com sede no Camboja.

A FinCEN descobriu que o Huione Group lavou pelo menos $ 4 bilhões em proventos ilícitos entre agosto de 2021 e janeiro de 2025. A empresa de blockchain Elliptic estima que o valor real possa estar mais próximo de $ 11 bilhões.

A investigação do Tesouro revelou que o Huione Group processou $ 37 milhões vinculados diretamente ao Lazarus Group, incluindo $ 35 milhões do hack da DMM Bitcoin. A empresa trabalhou diretamente com o Bureau Geral de Reconhecimento da Coreia do Norte, a principal organização de inteligência estrangeira de Pyongyang.

O que tornou o Huione particularmente perigoso foi a sua total falta de controles de conformidade. Nenhum dos seus três componentes de negócio — Huione Pay (bancário), Huione Guarantee (escrow) e Huione Crypto (exchange) — tinha políticas de AML / KYC publicadas.

A conexão da empresa com a família governante Hun do Camboja, incluindo o primo do Primeiro-Ministro Hun Manet como um dos principais acionistas, complicou os esforços de fiscalização internacional até que os EUA agissem para cortar o seu acesso ao sistema financeiro americano em maio de 2025.

A Resposta Regulatória: MiCA, PoR e Além

A escala dos roubos de 2025 acelerou a ação regulatória em todo o mundo.

Estágio 2 do MiCA na Europa

A União Europeia agilizou o "Estágio 2" do regulamento Markets in Crypto-Assets (MiCA), que agora exige auditorias trimestrais de fornecedores de software de terceiros para qualquer exchange que opere na Zona do Euro. O vetor de ataque de cadeia de suprimentos do hack da Bybit impulsionou esse requisito específico.

Mandatos de Proof-of-Reserves nos EUA

Nos Estados Unidos, o foco mudou para requisitos obrigatórios de Proof-of-Reserves (PoR) em tempo real. A teoria: se as exchanges devem provar seus ativos on-chain em tempo real, saídas suspeitas tornam-se imediatamente visíveis.

Lei de Segurança Financeira Digital da Coreia do Sul

Após o hack da Upbit, a Comissão de Serviços Financeiros da Coreia do Sul propôs a "Lei de Segurança Financeira Digital" em dezembro de 2025. A Lei imporia proporções obrigatórias de armazenamento a frio (cold storage), testes de intrusão rotineiros e monitoramento aprimorado de atividades suspeitas em todas as exchanges de criptomoedas.

O que as Defesas de 2026 Precisam

A violação da Bybit forçou uma mudança fundamental na forma como as exchanges centralizadas gerenciam a segurança. Líderes da indústria identificaram várias atualizações críticas para 2026:

Migração para Computação Multipartidária (MPC)

A maioria das plataformas de alto nível migrou de multi-sigs tradicionais de contratos inteligentes para a tecnologia de Computação Multipartidária (MPC). Ao contrário da configuração Safe{Wallet} explorada em 2025, o MPC divide as chaves privadas em fragmentos (shards) que nunca existem em um único local, tornando técnicas de falsificação de interface (UI-spoofing) e "Ice Phishing" quase impossíveis de executar.

Padrões de Armazenamento a Frio (Cold Storage)

Exchanges de custódia respeitáveis agora implementam proporções de 90-95% de armazenamento a frio, mantendo a grande maioria dos fundos dos usuários offline em módulos de segurança de hardware. Carteiras multi-assinatura exigem que várias partes autorizadas aprovem transações de grande valor.

Auditoria da Cadeia de Suprimentos

A principal lição de 2025 é que a segurança se estende além da blockchain para toda a pilha de software. As exchanges devem auditar seus relacionamentos com fornecedores com o mesmo rigor que aplicam ao seu próprio código. O hack da Bybit teve sucesso devido à infraestrutura de terceiros comprometida, não a vulnerabilidades da própria exchange.

Defesa do Fator Humano

O treinamento contínuo sobre tentativas de phishing e práticas seguras de senhas tornou-se obrigatório, já que o erro humano continua sendo uma das causas primárias de violações. Especialistas em segurança recomendam exercícios periódicos de red e blue team para identificar pontos fracos na gestão de processos de segurança.

Atualizações Resistentes à Computação Quântica

Olhando mais para o futuro, a criptografia pós-quântica (PQC) e o hardware protegido contra computação quântica estão surgindo como defesas futuras críticas. O CAGR projetado de 15,2% do mercado de carteiras frias de 2026 a 2033 reflete a confiança institucional na evolução da segurança.

O Caminho a Seguir

O aviso de encerramento da Chainalysis em seu relatório de 2025 deve ressoar em toda a indústria: "O desempenho recorde do país em 2025 — alcançado com 74% menos ataques conhecidos — sugere que podemos estar vendo apenas a parte mais visível de suas atividades. O desafio para 2026 será detectar e prevenir essas operações de alto impacto antes que atores afiliados à RPDC inflijam outro incidente na escala da Bybit."

A Coreia do Norte provou que hackers patrocinados pelo Estado podem superar as defesas da indústria quando motivados pela evasão de sanções e pelo financiamento de armas. O total cumulativo de $ 6,75 bilhões representa não apenas criptomoedas roubadas — representa mísseis, programas nucleares e a sobrevivência do regime.

Para a indústria de criptomoedas, 2026 deve ser o ano da transformação da segurança. Não melhorias incrementais, mas uma rearquitetura fundamental de como os ativos são armazenados, acessados e transferidos. O Lazarus Group mostrou que as melhores práticas de ontem são as vulnerabilidades de hoje.

Os riscos nunca foram tão altos.

---

Garantir a infraestrutura blockchain requer vigilância constante e práticas de segurança líderes do setor. BlockEden.xyz fornece infraestrutura de nós de nível empresarial com arquitetura de segurança em várias camadas, ajudando desenvolvedores e empresas a construir sobre bases projetadas para resistir a ameaças em evolução.