Hackers norte-coreanos passam pelo “Ano do Rabo”: em 2025, roubo de fundos atinge recorde, ciclo de lavagem de dinheiro de aproximadamente 45 dias

Autor: Chainalysis

Compilação: Felix, PANews

Devido aos ataques de hackers da Coreia do Norte à indústria de criptomoedas ao longo dos anos, a Chainalysis analisou detalhadamente as ações desses hackers no Relatório de Ataques Cibernéticos de 2025. A seguir, os detalhes do conteúdo.

Pontos principais:

• Hackers da Coreia do Norte em 2025 roubaram criptomoedas no valor de 2,02 bilhões de dólares, um aumento de 51% em relação ao ano anterior, apesar da redução no número de ataques, o valor total roubado já atingiu 6,75 bilhões de dólares.
• Hackers da Coreia do Norte roubam mais criptomoedas com menos ataques, frequentemente infiltrando funcionários de TI em serviços de criptomoedas ou usando estratégias complexas de impersonação direcionadas a executivos.
• Hackers da Coreia do Norte demonstram preferência por serviços de lavagem de dinheiro em chinês, pontes cross-chain e protocolos de mistura de moedas, com ciclos de lavagem de aproximadamente 45 dias após grandes roubos.
• Em 2025, incidentes de roubo de carteiras pessoais aumentaram para 158 mil, afetando 80 mil usuários, embora o valor total roubado (713 milhões de dólares) tenha diminuído em relação a 2024.
• Apesar do aumento no valor total bloqueado em DeFi (TVL), as perdas por ataques de hackers entre 2024 e 2025 permanecem em níveis baixos, indicando que melhorias nas medidas de segurança estão tendo efeito significativo.

Em 2025, o ecossistema de criptomoedas enfrenta novos desafios, com o valor roubado continuando a subir. A análise revela que os padrões de roubo de criptomoedas apresentam quatro características principais: os hackers da Coreia do Norte continuam sendo a principal ameaça; ataques direcionados a serviços centralizados se intensificaram; incidentes de roubo de carteiras pessoais aumentaram; e a tendência de ataques a DeFi mostra uma divisão inesperada.

**Visão geral:**Em 2025, o valor roubado ultrapassou 34 bilhões de dólares

De janeiro a início de dezembro de 2025, o valor roubado na indústria de criptomoedas ultrapassou 3,4 bilhões de dólares, sendo que apenas em fevereiro, o ataque à Bybit representou 1,5 bilhão de dólares.

Os dados também revelam mudanças importantes nesses eventos de roubo. Incidentes de roubo de carteiras pessoais aumentaram significativamente, passando de 7,3% do valor total roubado em 2022 para 44% em 2024. Se não fosse pelo impacto do ataque à Bybit, essa proporção em 2025 poderia chegar a 37%.

Ao mesmo tempo, devido a ataques complexos contra infraestrutura de chaves privadas e processos de assinatura, serviços centralizados estão sofrendo perdas cada vez maiores. Apesar de essas plataformas possuírem recursos institucionais e equipes de segurança especializadas, continuam vulneráveis a ameaças capazes de contornar o controle de carteiras frias. Embora esses incidentes não sejam frequentes (conforme ilustrado na figura abaixo), quando ocorrem, resultam em perdas elevadas. No primeiro trimestre de 2025, esses eventos representaram 88% do total de perdas. Muitos atacantes desenvolveram métodos que utilizam integrações com carteiras de terceiros, induzindo signatários a autorizar transações maliciosas.

Embora a segurança em criptografia possa ter melhorado em alguns aspectos, os altos valores roubados indicam que os atacantes continuam obtendo sucesso por diversos meios.

As três maiores perdas por ataques de hackers representam 69% do total, atingindo até 1000 vezes a mediana

Eventos de roubo de fundos sempre foram impulsionados por eventos extremos. A maioria dos ataques é de pequena escala, mas alguns são de grande magnitude. Em 2025, a situação piorou: a maior escala de ataque de hackers ultrapassou pela primeira vez 1000 vezes a mediana de todos os incidentes. Atualmente, o valor roubado na maior operação é mil vezes maior do que na média, chegando até a superar o pico do mercado de alta de 2021. Esses cálculos consideram o valor roubado em dólares na época do ataque.

Essa crescente disparidade concentra as perdas. Os três maiores ataques de 2025 representaram 69% de todas as perdas, com impacto desproporcional de um único evento no total anual. Apesar de a frequência de ataques variar e de o aumento do valor dos ativos elevar a mediana das perdas, as vulnerabilidades de grande escala continuam a gerar perdas potencialmente maiores a uma velocidade acelerada.

Apesar da redução no número de ataques confirmados, a Coreia do Norte permanece como principal ameaça

Embora a frequência de ataques tenha diminuído significativamente, a Coreia do Norte continua sendo o país que representa a maior ameaça à segurança de criptomoedas, atingindo um novo recorde de fundos roubados em 2025, pelo menos 2,02 bilhões de dólares (um aumento de 681 milhões de dólares em relação a 2024), crescimento de 51%. Em termos de valor roubado, foi o ano mais grave de roubos de criptomoedas registrados até hoje, com ataques da Coreia do Norte respondendo por 76% de todas as invasões, atingindo um recorde histórico. Em geral, o total acumulado de criptomoedas roubadas pela Coreia do Norte é estimado em pelo menos 6,75 bilhões de dólares.

Hackers norte-coreanos vêm cada vez mais infiltrando funcionários de TI (uma das principais táticas de ataque) em exchanges, custodiantes e empresas Web3 para obter privilégios e realizar ataques de grande escala. Os incidentes recordes deste ano podem refletir uma maior dependência da Coreia do Norte na infiltração de profissionais de TI em plataformas de troca, custódia e Web3, acelerando o acesso inicial e o movimento lateral, criando condições para roubos em larga escala.

No entanto, grupos de hackers associados à Coreia do Norte recentemente romperam com esse padrão de infiltração por profissionais de TI. Eles não apenas se candidatam a vagas e se infiltram como funcionários, mas também se disfarçam de recrutadores de empresas renomadas de Web3 e IA, elaborando processos de recrutamento falsos, e, sob o pretexto de “triagem técnica”, obtêm credenciais de login, código fonte e acessos VPN ou SSO de seus alvos. No nível executivo, usam táticas de engenharia social semelhantes, abordando investidores estratégicos ou compradores falsos, usando reuniões de apresentação e due diligence falsa para explorar informações sensíveis de sistemas e infraestrutura de alto valor — essa evolução é uma extensão direta das fraudes de profissionais de TI da Coreia do Norte, focando em empresas de IA e blockchain de importância estratégica.

Como observado nos últimos anos, os ataques cibernéticos da Coreia do Norte continuam sendo de valor muito superior a outros hackers. Como ilustrado na figura abaixo, de 2022 a 2025, ataques norte-coreanos dominam as faixas de maior valor, enquanto ataques de hackers de outros países distribuem-se de forma mais equilibrada. Esse padrão reforça que, ao atacar, os hackers norte-coreanos visam grandes serviços, buscando causar o maior impacto possível.

O recorde de perdas neste ano decorre de uma redução significativa no número de incidentes conhecidos. Essa mudança — menos eventos, mas perdas maiores — reflete o impacto do grande ataque à Bybit em fevereiro de 2025.

Padrões únicos de lavagem de dinheiro da Coreia do Norte

No início de 2025, o influxo de fundos roubados revelou como os hackers norte-coreanos realizam lavagem em larga escala de criptomoedas. Seus métodos diferem radicalmente de outros criminosos cibernéticos e evoluem ao longo do tempo.

A lavagem de dinheiro da Coreia do Norte apresenta um padrão claro de “faixas”: mais de 60% do volume de transações concentra-se em valores abaixo de 50 mil dólares. Em contraste, mais de 60% das transferências na cadeia de outros hackers ocorrem em intervalos de 1 milhão a 10 milhões de dólares, feitas em lotes. Apesar de cada operação de lavagem da Coreia do Norte envolver valores maiores, eles fragmentam as transferências em lotes menores, evidenciando a complexidade de suas táticas.

Em comparação com outros hackers, os norte-coreanos demonstram preferência por certos métodos de lavagem:

• Transferências e garantias em serviços de língua chinesa (+355% a mais de 1000%) — característica marcante, fortemente dependente de serviços de garantia em chinês e de redes de lavagem compostas por operadores com controle regulatório fraco.
• Serviços de ponte cross-chain (+97%) — dependência elevada de pontes entre blockchains para transferir ativos, tentando dificultar o rastreamento.
• Serviços de mistura de moedas (+100%) — maior uso de mixers para tentar ocultar o fluxo de fundos.
• Serviços especializados como Huione (+356%) — uso estratégico de plataformas específicas para auxiliar na lavagem.

Outros hackers envolvidos em lavagem tendem a preferir:

• Protocolos de empréstimo (-80%) — evitando o uso de serviços DeFi, indicando integração limitada com o ecossistema DeFi mais amplo.
• Exchanges sem KYC (-75%) — surpreendentemente, outros hackers usam mais exchanges sem KYC do que os norte-coreanos.
• P2P (-64%) — interesse limitado em plataformas P2P.
• CEX (-25%) — maior interação com exchanges tradicionais.
• DEX (-42%) — preferência por DEX devido à alta liquidez e anonimato.

Esses padrões indicam que as operações da Coreia do Norte são influenciadas por restrições e objetivos diferentes dos de criminosos cibernéticos não estatais. Eles utilizam massivamente serviços profissionais de lavagem em chinês e negociações OTC, indicando uma forte ligação com atores ilícitos na Ásia-Pacífico.

Linha do tempo da lavagem de fundos roubados após ataques da Coreia do Norte

A análise das atividades na cadeia após incidentes atribuídos à Coreia do Norte entre 2022 e 2025 revela um padrão consistente de fluxo de fundos roubados na ecossistema de criptomoedas. Após grandes roubos, os fundos seguem uma rota estruturada e em múltiplas fases, durando aproximadamente 45 dias:

Primeira fase: imediato em camadas (dias 0-5)

Nos primeiros dias após o ataque, observa-se uma atividade altamente anormal, concentrada em transferir fundos imediatamente da fonte roubada:

• Fluxo de fundos roubados de protocolos DeFi aumenta em +370%, sendo o principal ponto de entrada.
• Transações em mixers também crescem bastante (+135-150%), formando a primeira camada de confusão.
• Essa fase representa uma ação de “primeiro passo” urgente, tentando separar-se do roubo inicial.

Segunda fase: integração preliminar (dias 6-10)

Na segunda semana, a estratégia de lavagem se volta a serviços que ajudam a inserir os fundos em ecossistemas mais amplos:

• Exchanges com menos restrições de KYC (+37%) e CEX (+32%) começam a receber fundos.
• Mixers de segunda camada (+76%) continuam a lavar com menor intensidade.
• Pontes cross-chain (como XMRt, +141%) ajudam a dispersar e disfarçar o fluxo entre blockchains.
• Essa fase é uma transição crítica, com fundos começando a migrar para canais de saída potenciais.

Terceira fase: integração de cauda longa (dias 20-45)

Na última fase, há forte preferência por serviços que possam converter fundos em moeda fiduciária ou outros ativos:

• Exchanges sem KYC (+82%) e serviços de garantia (como o “Potato Single Token”, +87%) aumentam significativamente.
• Exchanges instantâneas (+61%) e plataformas em chinês (como HuiWang, +45%) tornam-se pontos finais de troca.
• CEX (+50%) também recebem fundos, indicando tentativas de misturar fundos ilícitos com legítimos.
• Plataformas com menor regulação, como redes de lavagem em chinês (+33%) e Grinex (+39%), consolidam esse padrão.

Essa janela de lavagem, geralmente de 45 dias, fornece informações cruciais para agências de aplicação da lei e equipes de conformidade. O padrão persistiu por anos, indicando que os hackers da Coreia do Norte enfrentam limitações operacionais, possivelmente relacionadas ao acesso a infraestrutura financeira e à necessidade de coordenação com intermediários.

Embora esses hackers nem sempre sigam exatamente essa linha do tempo — alguns fundos roubados podem permanecer em estado de dormência por meses ou anos —, esse padrão representa seu comportamento típico na lavagem ativa. É importante reconhecer possíveis pontos cegos na análise, pois atividades como transferência de chaves privadas ou trocas OTC de criptomoedas por moeda fiduciária podem não ser visíveis na cadeia sem informações adicionais.

Roubo de carteiras pessoais: ameaça crescente aos usuários individuais

Por meio da análise de padrões na cadeia e de relatos de vítimas e parceiros do setor, é possível compreender a gravidade do roubo de carteiras pessoais, embora o número real de incidentes seja provavelmente maior. Estima-se que, em 2025, o valor roubado de carteiras pessoais represente pelo menos 20% do total de perdas, uma redução em relação aos 44% de 2024, indicando mudanças tanto na escala quanto no padrão. O número total de incidentes de roubo atingiu 158 mil em 2025, quase triplicando os 54 mil registros de 2022. O número de vítimas passou de 40 mil em 2022 para pelo menos 80 mil em 2025. Esses aumentos expressivos provavelmente refletem a maior adoção de criptomoedas. Por exemplo, na blockchain Solana, uma das mais ativas em carteiras pessoais, o número de vítimas de roubos é de aproximadamente 26,5 mil.

Apesar do aumento no número de incidentes e vítimas, o valor total roubado por vítima caiu de 1,5 bilhão de dólares em 2024 para 713 milhões em 2025. Isso indica que, embora mais usuários sejam alvo, o valor roubado por cada um diminuiu.

Dados de vulnerabilidade por rede oferecem insights adicionais sobre quais áreas representam maior risco para usuários de criptomoedas. A figura abaixo mostra os dados ajustados de roubo por cada 100 mil carteiras ativas em diferentes redes. Com base na taxa de crimes por 10 mil carteiras em 2025, Ethereum e TRON apresentam as maiores taxas de roubo. A grande base de usuários do Ethereum indica altas taxas de roubo e vítimas, enquanto TRON, com menos carteiras ativas, também apresenta uma taxa elevada. Em contraste, redes como Base e Solana, apesar de terem grandes bases de usuários, exibem taxas de roubo menores.

Isso demonstra que o risco de segurança das carteiras pessoais no ecossistema de criptomoedas não é uniforme. Mesmo com arquiteturas técnicas semelhantes, as taxas de vulnerabilidade variam entre blockchains, indicando que fatores como características do usuário, aplicações populares e infraestrutura criminosa também desempenham papel importante na determinação do risco de roubo.

Ataques de DeFi: padrões de divisão indicam mudança de mercado

Os dados de crimes em DeFi em 2025 revelam um padrão distinto, divergente das tendências históricas.

Mostram três fases claramente diferentes:

• Fase 1 (2020-2021): TVL de DeFi e perdas por ataques crescem sincronizadamente
• Fase 2 (2022-2023): ambos os indicadores diminuem juntos
• Fase 3 (2024-2025): TVL se recupera, enquanto perdas por ataques permanecem estáveis

As duas primeiras fases seguem um padrão intuitivo: quanto maior o risco, maior o valor que pode ser roubado, e maior a intensidade dos ataques a protocolos de alto valor. Como disse o ladrão de bancos Willie Sutton: “Porque lá tem dinheiro.”

Isso torna a terceira fase ainda mais notável. Apesar do TVL de DeFi ter se recuperado significativamente do ponto mais baixo em 2023, as perdas por ataques de hackers não aumentaram proporcionalmente. Apesar de bilhões de dólares terem retornado a esses protocolos, os incidentes de ataques de hackers a DeFi permanecem em níveis baixos, indicando uma mudança significativa.

Dois fatores podem explicar essa diferença:

• Melhoria na segurança: embora o TVL continue crescendo, a taxa de ataques diminui, sugerindo que os protocolos DeFi podem estar implementando medidas de segurança mais eficazes do que em 2020-2021.
• Mudança de foco: o aumento simultâneo de roubos de carteiras pessoais e ataques a serviços centralizados indica que os atacantes podem estar direcionando sua atenção a outros alvos.

**Estudo de caso:**Segurança do Venus Protocol

O incidente do Venus em setembro de 2025 demonstra que melhorias na segurança estão surtindo efeito. Na ocasião, atacantes usaram uma vulnerabilidade em um cliente do Zoom comprometido para obter acesso ao sistema e induzir um usuário a conceder permissões de delegação de 13 milhões de dólares na conta, o que poderia ter causado desastre. No entanto, a Venus havia ativado, um mês antes, a plataforma de monitoramento de segurança Hexagate.

Essa plataforma detectou atividades suspeitas 18 horas antes do ataque e enviou um alerta assim que a transação maliciosa foi iniciada. Em 20 minutos, a Venus pausou seu protocolo, impedindo qualquer fluxo de fundos. Essa resposta coordenada demonstra a evolução da segurança em DeFi:

• Em 5 horas: conclusão de verificações de segurança e recuperação parcial de funcionalidades
• Em 7 horas: liquidação forçada da carteira do atacante
• Em 12 horas: recuperação de todos os fundos roubados e restabelecimento do serviço

O mais notável é que a Venus aprovou uma proposta de governança que congelou ativos no valor de 3 milhões de dólares sob controle do atacante; o atacante não obteve lucro e, ao contrário, perdeu fundos.

Esse incidente mostra que a infraestrutura de segurança em DeFi evoluiu de forma concreta. Monitoramento proativo, resposta rápida e mecanismos de governança capazes de agir decisivamente tornam o ecossistema mais ágil e resiliente. Embora ataques ainda ocorram, a capacidade de detectar, responder e reverter ataques representa uma mudança fundamental em relação ao período inicial do DeFi, em que ataques bem-sucedidos geralmente resultavam em perdas permanentes.

Impacto para 2026 e além

Os dados de 2025 revelam uma evolução complexa na ameaça representada pela Coreia do Norte ao setor de criptomoedas. O número de ataques diminuiu, mas sua destrutividade aumentou significativamente, indicando maior sofisticação e maior paciência. O impacto do incidente na Bybit mostra que, ao realizar roubos de grande escala, a Coreia do Norte tende a reduzir o ritmo de suas ações e focar na lavagem de dinheiro.

Para o setor de criptomoedas, essa evolução exige maior vigilância sobre alvos de alto valor e maior capacidade de identificar os padrões específicos de lavagem de dinheiro da Coreia do Norte. Sua preferência contínua por certos tipos de serviços e valores de transferência oferece oportunidades de detecção, diferenciando-os de outros criminosos e auxiliando na identificação de suas características comportamentais na cadeia.

À medida que a Coreia do Norte continua a usar roubos de criptomoedas para financiar prioridades nacionais e evitar sanções internacionais, o setor deve reconhecer que suas operações diferem fundamentalmente de criminosos cibernéticos comuns. O desempenho recorde de 2025 (com uma redução de 74% nos ataques conhecidos) sugere que talvez só tenhamos visto a ponta do iceberg de suas atividades. O desafio para 2026 será detectar e impedir essas ações antes que a Coreia do Norte realize ataques de escala semelhante ao da Bybit novamente.

Leitura adicional: Aumento dramático nas perdas de segurança em criptomoedas: menos ataques, mas impacto destrutivo crescente