Hackers norte-coreanos roubaram um recorde de US$ 2,02 bilhões em criptomoedas em 2025, de acordo com um novo relatório da Chainalysis, superando o roubo do ano anterior em 51% e elevando seu total para US$ 6,75 bilhões. Os roubos, que representaram 60% do total global de US$ 3,4 bilhões roubados, foram impulsionados por menos, mas maiores ataques, incluindo uma violação de US$ 1,5 bilhão na exchange Bybit, sediada em Dubai, em fevereiro. Especialistas atribuem o sucesso a táticas sofisticadas como a inserção de trabalhadores de TI em empresas de cripto e a impersonificação de recrutadores.
O relatório da Chainalysis, divulgado em 18 de dezembro de 2025, destaca uma mudança nos padrões de roubo de criptomoedas, com a República Popular Democrática da Coreia (RPDC) da Coreia do Norte permanecendo como o ator de ameaça dominante. Apesar de 74% menos incidentes confirmados em comparação com 2024, os hackers da RPDC alcançaram resultados desproporcionais ao mirar serviços centralizados com altas reservas. O hack de fevereiro na Bybit, ligado pelo autoridades dos EUA ao Grupo Lazarus de elite da Coreia do Norte, representou sozinho US$ 1,5 bilhão em ethereum e outros ativos, marcando o maior roubo de cripto já registrado.
Analistas de blockchain observam que operativos da RPDC infiltram cada vez mais empresas de cripto ao obter fraudulentamente empregos remotos de TI ou se passando por recrutadores em plataformas como Upwork. 'Atores de ameaça norte-coreanos estão alcançando esses resultados desproporcionais frequentemente ao inserir trabalhadores de TI dentro de serviços de cripto para obter acesso privilegiado', afirma o relatório. No nível executivo, simulam apresentações de investimento para extrair credenciais e acesso ao sistema. O pesquisador de segurança Pablo Sabbatella estimou que 30 a 40% das candidaturas a vagas em empresas de cripto vêm de operativos norte-coreanos.
Padrões de lavagem revelam preferências da RPDC por serviços em chinês, pontes cross-chain e protocolos de mixagem, com fundos movidos em parcelas pequenas abaixo de US$ 500.000 em um ciclo típico de 45 dias. Isso difere de outros cibercriminosos, que preferem transferências maiores e empréstimos DeFi. A ONU acusa há muito a Coreia do Norte de usar esses fundos para contornar sanções e financiar seus programas nuclear e de mísseis.
Globalmente, violações de carteiras pessoais subiram para 158.000 incidentes afetando 80.000 vítimas, embora o valor total roubado tenha caído para US$ 713 milhões. Hacks DeFi permaneceram baixos apesar do aumento do valor total bloqueado, sugerindo medidas de segurança aprimoradas, como visto na resposta rápida do Protocolo Venus a um ataque em setembro que recuperou todos os fundos.
Especialistas alertam para riscos contínuos. 'A atividade de roubo de cripto da Coreia do Norte é uma questão de sanções, segurança nacional e crime financeiro', disse Chris Wong, ex-agente do FBI na TRM Labs. O chefe de inteligência de segurança nacional da Chainalysis, Andrew Fierman, enfatizou a necessidade de melhor detecção dos comportamentos on-chain distintos da RPDC.
