Coreia do Norte expande operações de roubo de cripto da RPDC enquanto recorde de 2,02 mil milhões de dólares é roubado em 2025

A crescente adoção da blockchain e os preços mais elevados dos ativos digitais coincidiram com uma escalada acentuada no roubo cripto da RPDC, remodelando o risco global em serviços centralizados, DeFi e carteiras pessoais.

Mais de 3,4 mil milhões de dólares roubados em 2025 com mudança no roubo de criptomoedas

Segundo um novo relatório da Chainalysis, o setor de criptomoedas registou mais de 3,4 mil milhões de dólares roubados entre janeiro e o início de dezembro de 2025, sendo que apenas a violação da Bybit em fevereiro foi responsável por 1,5 mil milhões de dólares. No entanto, por trás deste número, a estrutura do crime cripto mudou significativamente em apenas três anos.

Além disso, os comprometimentos de carteiras pessoais aumentaram como parte do roubo geral. Subiram de 7,3% do valor roubado em 2022 para 44% em 2024. Em 2025, teriam representado 37% das perdas totais se o comprometimento da Bybit não tivesse distorcido tanto os dados.

Os serviços centralizados, apesar de recursos profundos e equipas de segurança profissionais, continuam a sofrer perdas cada vez maiores impulsionadas por comprometimentos de chave privada. Embora tais incidentes ocorram com pouca frequência, permanecem devastadores. No primeiro trimestre de 2025, representaram 88% de todas as perdas, sublinhando o risco sistémico criado por pontos únicos de falha.

Dito isto, a persistência de volumes elevados de roubo mostra que, apesar de melhores práticas em alguns segmentos, os atacantes ainda podem explorar fraquezas através de múltiplos vetores e plataformas.

Mega-hacks excecionais dominam o roubo de criptomoedas

O roubo de criptomoedas sempre se inclinou para um punhado de violações desproporcionadas, mas 2025 estabeleceu um novo extremo. Pela primeira vez, a proporção entre o maior hack e o incidente mediano ultrapassou 1.000x, com base no valor em dólares americanos dos fundos no momento do roubo.

Como resultado, os três principais hacks em 2025 representaram 69% de todas as perdas de serviços. Embora as contagens de incidentes e as perdas medianas tendam a mover-se com os preços dos ativos, a escala dos valores excecionais individuais está a aumentar ainda mais rapidamente. Este risco de concentração significa que um único comprometimento pode agora remodelar as estatísticas de perda anual para toda a indústria.

Coreia do Norte lidera o cenário global de roubo de criptomoedas

A República Popular Democrática da Coreia (RPDC) continua a ser o ator estatal mais consequente no crime de ativos digitais. Em 2025, hackers norte-coreanos roubaram pelo menos 2,02 mil milhões de dólares em criptomoedas, um aumento de 681 milhões de dólares em relação a 2024 e uma subida anual de 51% no valor capturado.

Estas operações fizeram de 2025 o pior ano registado para roubos ligados à RPDC em valor. Além disso, os ataques da RPDC representaram um recorde de 76% de todos os comprometimentos de serviços, elevando o total cumulativo mínimo roubado por atores ligados a Pyongyang para 6,75 mil milhões de dólares. Notavelmente, este recorde foi alcançado apesar de uma redução acentuada avaliada em incidentes confirmados.

Os operadores norte-coreanos exploram cada vez mais um dos seus vetores principais: incorporar trabalhadores de TI dentro de exchanges, custodiantes e empresas web3.

Uma vez dentro, estes trabalhadores podem cultivar acesso privilegiado, facilitar movimento lateral e eventualmente orquestrar roubos em grande escala. O ataque à Bybit em fevereiro de 2025 provavelmente amplificou o impacto deste modelo de infiltração.

No entanto, grupos ligados à RPDC também adaptaram as suas táticas de engenharia social. Em vez de simplesmente candidatarem-se a empregos, agora frequentemente fazem-se passar por recrutadores de empresas proeminentes de web3 e IA, encenando processos de contratação falsos elaborados. Estes muitas vezes terminam com "testes técnicos" que enganam alvos para entregar credenciais, código-fonte ou acesso VPN e SSO aos seus empregadores atuais.

Ao nível executivo, campanhas semelhantes de engenharia social apresentam contactos falsos de supostos investidores estratégicos ou adquirentes.

Reuniões de apresentação e processos de diligência prévia falsos são usados para sondar detalhes sensíveis do sistema e mapear caminhos de acesso a infraestruturas de alto valor. Esta evolução baseia-se diretamente em esquemas anteriores de fraude de trabalhadores de TI e destaca um foco mais apertado em negócios de IA e blockchain estrategicamente importantes.

Ao longo de 2022-2025, os hacks atribuídos à RPDC ocupam consistentemente as faixas de valor mais elevadas, enquanto atores não estatais mostram distribuições mais normais entre tamanhos de incidentes. Esse padrão indica que quando a Coreia do Norte ataca, prefere grandes serviços centralizados e visa o máximo impacto financeiro e político.

Uma característica marcante de 2025 é que este total recorde foi alcançado com muito menos operações conhecidas.

A enorme violação da Bybit parece ter permitido aos grupos ligados à RPDC executar um pequeno número de ataques extremamente lucrativos em vez de um maior volume de comprometimentos de tamanho médio.

Padrões distintos de lavagem de criptomoedas da RPDC

O influxo sem precedentes de ativos roubados no início de 2025 proporcionou uma visibilidade invulgarmente clara sobre como os atores ligados a Pyongyang movem fundos em escala. Os seus padrões de lavagem de criptomoedas são significativamente diferentes dos de outros grupos criminosos e continuam a evoluir ao longo do tempo.

Os fluxos de saída da RPDC mostram uma estrutura de segmentação distinta. Pouco mais de 60% do volume viaja em transferências abaixo de 500.000 dólares, enquanto outros atores de fundos roubados enviam mais de 60% dos seus fluxos on-chain em tranches entre 1 milhão de dólares e 10 milhões de dólares+.

Apesar de normalmente roubarem totais maiores, os grupos da RPDC dividem pagamentos em segmentos menores, sugerindo uma tentativa deliberada de evitar deteção através de uma estruturação mais sofisticada.

Além disso, os atores da RPDC favorecem consistentemente pontos de contacto específicos de lavagem.

Dependem fortemente de serviços de movimentação de dinheiro e garantia em língua chinesa, frequentemente operando através de redes fracamente conectadas de lavadores profissionais cujos padrões de conformidade podem ser fracos. Também fazem uso extensivo de serviços de bridge e mixing cross-chain, juntamente com fornecedores especializados como a Huione, para aumentar a ofuscação e a complexidade jurisdicional.

Em contraste, muitos outros grupos criminosos preferem protocolos de empréstimo, exchanges sem KYC, plataformas P2P e exchanges descentralizadas para liquidez e pseudonimato. As entidades da RPDC mostram integração limitada com estas áreas de DeFi, sublinhando que as suas restrições e objetivos diferem dos de cibercriminosos típicos motivados financeiramente.

Estas preferências indicam que as redes da RPDC estão fortemente ligadas a operadores ilícitos na região Ásia-Pacífico, especialmente em canais baseados na China que fornecem acesso indireto ao sistema financeiro global. Isto corresponde à história mais ampla de Pyongyang de usar intermediários chineses para contornar sanções e mover valor offshore.

O ciclo de lavagem de 45 dias após o roubo cripto da RPDC

A análise on-chain de roubos ligados à RPDC entre 2022 e 2025 revela um ciclo de lavagem multi-onda relativamente estável com duração de cerca de 45 dias. Embora nem todas as operações sigam esta cronologia, aparece repetidamente quando fundos roubados são ativamente movidos.

A onda 1, abrangendo os dias 0 a 5, concentra-se na estratificação imediata. Os protocolos DeFi veem picos intensos em fluxos de fundos roubados como pontos de entrada iniciais, enquanto os serviços de mixing registam grandes saltos de volume para criar a primeira camada de ofuscação. Esta agitação de movimento é projetada para afastar fundos de endereços de origem facilmente identificados.

A onda 2, cobrindo os dias 6 a 10, marca o início da integração no ecossistema mais amplo. Exchanges com controlos KYC limitados, algumas plataformas centralizadas e mixers secundários começam a receber fluxos, frequentemente facilitados por bridges cross-chain que fragmentam e complicam os rastros de transações. Esta fase é crítica, pois os fundos transitam para potenciais saídas.

A onda 3, decorrer dos dias 20 a 45, apresenta a longa cauda de integração. Exchanges sem KYC, serviços de swap instantâneo e serviços de lavagem em língua chinesa emergem como principais pontos finais. As exchanges centralizadas também recebem cada vez mais depósitos, refletindo esforços para misturar receitas ilícitas com fluxos comerciais legítimos, frequentemente através de operadores em jurisdições menos regulamentadas.

Esta ampla janela de 45 dias fornece inteligência valiosa para equipas de aplicação da lei e conformidade que procuram interromper fluxos em tempo real. No entanto, os analistas notam pontos cegos importantes: transferências de chave privada, certos negócios OTC cripto-por-fiat, ou acordos totalmente off-chain podem permanecer invisíveis a menos que sejam combinados com inteligência adicional.

Comprometimentos de carteiras pessoais aumentam em volume

Além de violações de serviços de alto perfil, os ataques a indivíduos aumentaram acentuadamente. Estimativas de limite inferior mostram que os comprometimentos de carteiras pessoais representaram cerca de 20% do valor total roubado em 2025, abaixo dos 44% em 2024, mas ainda refletindo danos em grande escala.

As contagens de incidentes quase triplicaram de 54.000 em 2022 para 158.000 em 2025. Durante o mesmo período, o número de vítimas únicas duplicou de aproximadamente 40.000 para pelo menos 80.000. Estes aumentos provavelmente espelham uma adoção mais ampla de ativos autocustodiados pelos utilizadores. Por exemplo, Solana, uma das cadeias com as carteiras pessoais mais ativas, registou cerca de 26.500 utilizadores afetados, muito mais do que outras redes.

No entanto, o valor total em dólares perdido por indivíduos caiu de 1,5 mil milhões de dólares em 2024 para 713 milhões de dólares em 2025. Isto sugere que os atacantes estão a espalhar esforços por muito mais vítimas enquanto extraem somas menores por conta, potencialmente para reduzir o risco de deteção e explorar utilizadores menos sofisticados.

Métricas de crime ao nível da rede iluminam quais cadeias apresentam atualmente o maior risco para os utilizadores. Em 2025, ao medir o roubo por 100.000 carteiras, Ethereum e Tron mostram as taxas de crime mais elevadas. A vasta escala do Ethereum combina contagens elevadas de incidentes com risco elevado por carteira, enquanto a Tron exibe uma taxa de roubo relativamente alta apesar de uma base ativa menor. Em contraste, Base e Solana mostram taxas mais baixas mesmo que as suas comunidades de utilizadores sejam consideráveis.

Estas diferenças indicam que os comprometimentos de carteiras pessoais não estão uniformemente distribuídos pelo ecossistema. Fatores como dados demográficos dos utilizadores, tipos de aplicação dominantes, infraestrutura criminal local e níveis de educação provavelmente influenciam onde os burlões e operadores de malware concentram os seus esforços.

Hacks em DeFi divergem das tendências do valor total bloqueado

O setor de finanças descentralizadas exibe uma divergência notável entre o crescimento do mercado e os resultados de segurança. Os dados de 2020 a 2025 confirmam três fases claras na relação entre o Valor Total Bloqueado (TVL) em DeFi e as perdas relacionadas com hacks.

Na Fase 1, de 2020 a 2021, TVL e perdas subiram em conjunto à medida que o boom inicial de DeFi atraiu tanto capital como atacantes sofisticados. A Fase 2, cobrindo 2022 a 2023, viu tanto TVL como perdas recuarem à medida que os mercados arrefeceram. No entanto, a Fase 3, abrangendo 2024 e 2025, marca uma quebra estrutural: o TVL recuperou dos mínimos de 2023, mas os volumes de hacks permanecem comparativamente contidos.

Esta divergência implica que as melhorias de segurança em DeFi estão a começar a ter efeito mensurável. Além disso, o aumento simultâneo de ataques a carteiras pessoais e hacks a exchanges centralizadas sugere substituição de alvos, com atores de ameaças a mudar recursos para áreas percebidas como mais fáceis de comprometer.

Estudo de caso: Protocolo Venus destaca progresso defensivo

O incidente do Protocolo Venus em setembro de 2025 sublinha como defesas em camadas podem mudar significativamente os resultados. Os atacantes usaram um cliente Zoom comprometido para ganhar ponto de apoio e manipularam um utilizador para conceder controlo delegado sobre uma conta com 13 milhões de dólares em ativos.

Sob condições anteriores de DeFi, tal acesso poderia ter resultado em perdas irreversíveis. No entanto, a Venus tinha integrado uma plataforma de monitorização de segurança apenas um mês antes. Essa plataforma sinalizou atividade suspeita aproximadamente 18 horas antes do ataque e emitiu outro alerta quando a transação maliciosa foi submetida.

Dentro de 20 minutos, a Venus pausou o seu protocolo, interrompendo movimentos de fundos. A funcionalidade parcial retornou após cerca de 5 horas, e dentro de 7 horas o protocolo liquidou à força a carteira do atacante. Pela marca das 12 horas, todos os fundos roubados tinham sido recuperados e as operações normais retomadas.

Num passo adicional, a governação da Venus aprovou uma proposta para congelar aproximadamente 3 milhões de dólares em ativos ainda sob controlo do atacante. O adversário acabou por falhar em lucrar e em vez disso incorreu em perdas líquidas, mostrando o crescente poder da governação on-chain, monitorização e estruturas de resposta a incidentes.

Dito isto, este caso não deve gerar complacência. Demonstra o que é possível quando os protocolos investem cedo em monitorização e manuais ensaiados, mas muitas plataformas DeFi ainda carecem de capacidades comparáveis ou planos de contingência claros.

Implicações para 2026 e o futuro ambiente de ameaças

Os dados de 2025 retratam um ecossistema RPDC altamente adaptativo, no qual menos operações ainda podem fornecer resultados recordes. O incidente da Bybit, combinado com outros comprometimentos em grande escala, mostra como uma campanha bem-sucedida pode sustentar necessidades de financiamento por períodos prolongados enquanto os grupos se concentram na lavagem e segurança operacional.

Além disso, o perfil único do roubo cripto da RPDC em relação a outras atividades ilícitas oferece oportunidades valiosas de deteção. A sua preferência por tamanhos específicos de transferência, forte dependência de certas redes em língua chinesa e ciclo característico de lavagem de 45 dias podem ajudar exchanges, empresas de análise e reguladores a sinalizar comportamento suspeito mais cedo.

À medida que os hackers cripto da Coreia do Norte continuam a usar ativos digitais para financiar prioridades estatais e contornar sanções, a indústria deve aceitar que este adversário opera sob incentivos diferentes dos criminosos comuns motivados financeiramente. O desempenho recorde do regime em 2025, alcançado com uma estimativa de 74% menos ataques conhecidos, sugere que muitas operações podem ainda estar a passar despercebidas.

Olhando para 2026, o desafio central será identificar e interromper estas operações de alto impacto antes que ocorra outra violação à escala da Bybit. Fortalecer controlos em locais centralizados, endurecer carteiras pessoais e aprofundar a cooperação com as autoridades policiais será crítico para conter tanto campanhas de Estados-nação como a onda mais ampla de crime cripto.

Em resumo, 2025 confirmou que, embora as defesas estejam a melhorar em áreas como DeFi, atores sofisticados como a RPDC e ladrões de carteiras em grande escala continuam a explorar fraquezas estruturais, tornando as respostas globais coordenadas mais urgentes do que nunca.