## Coreia do Norte hackers acedem a dados e atualizam registos: O roubo de criptomoedas em 2025 atinge níveis históricos

A indústria de criptomoedas enfrentou em 2025 a ameaça contínua de ataques cibernéticos por parte da Coreia do Norte. Segundo uma investigação de uma empresa de análise de cadeias, os hackers norte-coreanos mudaram de tática este ano, causando golpes mais impactantes com menos ataques, registando o maior volume de roubos até então. Esta mudança sugere que os atacantes estão a explorar vulnerabilidades de segurança com maior precisão e a usar métodos de intrusão mais sofisticados.

### Valor recorde de roubos: da quantidade à qualidade

De janeiro a início de dezembro de 2025, o total de fundos roubados do ecossistema de criptomoedas ultrapassou os 3,4 mil milhões de dólares, sendo que o grupo de hackers relacionado com a Coreia do Norte foi responsável pela maior parte. Os ativos digitais roubados nesse ano atingiram pelo menos 2,02 mil milhões de dólares, um aumento de 51% em relação a 2024.

O que merece destaque é que, apesar de o número de ataques ter diminuído, o valor total roubado aumentou significativamente. Isto indica uma mudança na estratégia dos hackers norte-coreanos. Anteriormente, tentavam várias intrusões de menor escala, mas agora concentram-se em ataques direcionados a alvos de alto valor. Como resultado, o total acumulado de roubos por parte da Coreia do Norte atingiu 6,75 mil milhões de dólares, tornando-se um dos maiores da história das criptomoedas.

Só nos três maiores incidentes de 2025, representam 69% do total. A diferença entre o maior ataque isolado e a média de perdas por hacking atingiu uma escala sem precedentes, chegando a uma diferença de mil vezes. Este nível de disparidade supera até o auge do mercado em 2021.

### Evolução das técnicas de ataque: de infiltrações internas a fraudes com a administração

As táticas dos hackers norte-coreanos evoluíram de simples infiltrações internas para métodos de engenharia social mais avançados.

Antes, eles infiltravam-se como profissionais de TI dentro das empresas, obtendo acessos privilegiados. No entanto, atividades recentes revelaram uma mudança radical nesta estratégia. Atualmente, os grupos fingem ser recrutadores de grandes empresas Web3 ou de IA, criando processos de recrutamento falsos. Quando as vítimas avançam para uma “entrevista técnica”, os hackers solicitam credenciais de login, código fonte, acesso VPN e autenticação SSO. Uma vez obtidas estas informações confidenciais, conseguem infiltrar-se em todo o sistema.

Uma tendência ainda mais perigosa é o ataque de engenharia social dirigido à administração. Os hackers fingem ser investidores estratégicos ou representantes de empresas de aquisição, e através de reuniões sob o pretexto de diligência devida, tentam obter informações sobre sistemas e infraestruturas críticas.

Este padrão de ataque em evolução indica que os grupos norte-coreanos não são apenas criminosos comuns, mas organizações apoiadas pelo Estado, com alvos estratégicos em empresas de importância.

### Padrões próprios de lavagem de dinheiro: o ciclo secreto de 45 dias

Os hackers norte-coreanos demonstram um padrão distinto na lavagem de fundos roubados, que difere de outros grupos criminosos. Analisando suas atividades, verificou-se que o processo desde o roubo até a conversão final em moeda fiduciária ocorre num ciclo consistente de aproximadamente 45 dias.

**Fase inicial (0 a 5 dias após o roubo)**

Logo após o ataque, durante o período de confusão, os fundos roubados aumentam em 370% na entrada em protocolos DeFi. Simultaneamente, o uso de serviços de mistura de fundos sobe entre 135% e 150%, formando uma “primeira camada” que dificulta o rastreamento. Nesta fase, a prioridade é esconder rapidamente os vestígios do roubo.

**Fase intermediária (6 a 10 dias)**

Durante a dispersão dos fundos pelo ecossistema, começa a entrada em plataformas de transações sem confirmação e em exchanges centralizadas (CEX). O uso dessas plataformas aumenta entre 32% e 37%. A transferência entre diferentes blockchains usando pontes cross-chain também se intensifica, complicando ainda mais o rastreamento.

**Fase final (20 a 45 dias)**

Nessa fase, os fundos entram em plataformas sem confirmação, serviços de garantia e redes de lavagem de dinheiro em chinês. Aqui, acredita-se que ocorre a troca final por moeda fiduciária.

Os métodos preferidos pelos grupos norte-coreanos incluem serviços de transferência de fundos em chinês e instituições de garantia (com aumento de utilização entre 355% e mais de 1000%). Isso sugere uma forte ligação com redes financeiras underground na Ásia Oriental. Em contrapartida, o uso de protocolos DeFi de empréstimo e plataformas P2P é significativamente menor do que outros hackers.

A consistência desse padrão indica que a Coreia do Norte adota uma abordagem altamente organizada na lavagem de dinheiro, dependendo de intermediários específicos e jurisdições com regulações frouxas.

### Crescimento rápido de vítimas em carteiras pessoais: alerta para utilizadores de criptomoedas

A nível individual, os roubos de criptomoedas aumentaram a uma taxa sem precedentes em 2025. O número de incidentes atingiu 158 mil, quase triplicando os 54 mil de 2022. O número de vítimas também dobrou, passando de 40 mil para pelo menos 80 mil.

Este aumento acompanha a expansão do uso de criptomoedas, refletindo uma maior adoção por utilizadores comuns. Em particular, a blockchain Solana registou cerca de 26.500 vítimas, com um número elevado de incidentes de roubo.

Curiosamente, embora o número de incidentes tenha aumentado, o valor médio roubado por incidente diminuiu. Em 2024, o total de perdas foi de 1,5 mil milhões de dólares, enquanto em 2025 ficou em 713 milhões de dólares. Ou seja, os atacantes expandem o alvo, mas o valor roubado por vítima média diminui.

Ao analisar a taxa de roubo por rede, Ethereum e TRON apresentam os maiores riscos, com taxas de crime por 100 mil carteiras destacando-se. Em contrapartida, Base e Solana, apesar de grandes bases de utilizadores, têm taxas de roubo relativamente baixas. Isto sugere que fatores como o ambiente de aplicações na rede, atributos dos utilizadores e infraestruturas criminosas influenciam o risco de roubo, além do simples número de utilizadores.

### Esperança no setor DeFi: o impacto dos investimentos em segurança

De 2024 a 2025, as tendências no setor DeFi desafiaram a lógica convencional. Apesar do valor bloqueado (TVL) ter recuperado significativamente desde mínimos históricos, as perdas por hacking mantiveram-se em níveis baixos e estáveis.

Historicamente, quanto maior o volume de ativos de risco, maior o risco de perdas por ataques. Essa correlação foi evidente em 2020-2021 e também na fase de baixa de 2022-2023. No entanto, na recuperação de 2024-2025, essa relação deixou de se aplicar.

Este fenómeno sugere que os esforços de reforço de segurança das plataformas DeFi estão a dar resultados concretos. A intensificação da monitorização, a implementação de sistemas de deteção em tempo real e a criação de mecanismos de resposta rápida têm reduzido a frequência de ataques.

**Estudo de caso: sucesso na defesa do protocolo Venus**

O incidente do protocolo Venus em setembro de 2025 demonstrou a eficácia dos sistemas de segurança aprimorados. Os atacantes conseguiram acesso ao sistema através de uma violação do cliente Zoom, tentando obter autorização para uma transferência de 13 milhões de dólares.

No entanto, a Venus tinha implementado um sistema de monitorização de segurança um mês antes. Este sistema detectou anomalias 18 horas antes do ataque e enviou alertas imediatos durante as transações maliciosas. Assim, foi possível:

- **Dentro de 20 minutos**: parar o protocolo de emergência e impedir a saída de fundos
- **Dentro de 5 horas**: verificar a segurança e restaurar parcialmente as funções
- **Dentro de 7 horas**: liquidar posições do atacante
- **Dentro de 12 horas**: recuperar todos os fundos roubados e restabelecer o serviço

Outro destaque foi o congelamento de ativos no valor de 3 milhões de dólares que o atacante ainda possuía via governança. Como resultado, o atacante não obteve lucro, mas perdeu os fundos.

Este caso mostra que a segurança em DeFi evolui para um ecossistema integrado de monitorização, resposta e governança, além de simples medidas técnicas.

### Perspectivas futuras e estratégias contra ameaças de acesso a dados

Os dados de 2025 revelam que a ameaça da Coreia do Norte mudou qualitativamente. Embora o número de ataques tenha diminuído, a sua capacidade destrutiva aumentou, e os métodos tornaram-se mais pacientes e sofisticados. Após um grande incidente em fevereiro, há sinais de que, após roubar em grande escala, eles reduzem temporariamente o ritmo para focar na lavagem de dinheiro.

Para a indústria de criptomoedas, os desafios são diversos. É fundamental reforçar a vigilância sobre alvos de alto valor, aumentar a consciência sobre as técnicas específicas de lavagem da Coreia do Norte e reconhecer o padrão de ciclo de 45 dias. Estas características ajudam a distinguir os grupos criminosos, melhorando a deteção e a resposta.

Para a Coreia do Norte, que continua a usar roubos de criptomoedas como forma de evitar sanções internacionais, as atividades atuais podem ser apenas a ponta do iceberg. O maior desafio a partir de 2026 será a capacidade de antecipar e responder a grandes ataques antes que ocorram.