Em 2026, três em cada quatro dólares roubados em cripto no mundo foram parar no mesmo lugar: Pyongyang. Segundo a TRM Labs, a Coreia do Norte respondeu por 76% de todo o valor roubado em ataques cripto em 2026 (até abril). O número assusta — mas o que ele esconde assusta mais. Esse domínio não veio de uma enxurrada de ataques. Veio de apenas dois golpes, somando cerca de US$ 577 milhões. E os dois você já leu aqui.
O primeiro foi o hack de US$ 285 milhões à Drift Protocol, que se revelou uma operação de seis meses de engenharia social ligada à Coreia do Norte. O segundo foi o exploit de cerca de US$ 292 milhões na KelpDAO, que cobrimos no mês em que o cross-chain sangrou — e que a Chainalysis, parceira da ON3X em blockchain analytics, agora atribui formalmente ao Lazarus Group. Duas reportagens separadas que, juntas, são três quartos de todo o crime cripto do ano. Essa é a tese desta matéria: a era do hacker solitário acabou. O que existe hoje é um Estado com um centro de lucro.
Dois golpes, não uma onda
A leitura ingênua dos 76% é imaginar exércitos de hackers norte-coreanos varrendo o DeFi todos os dias. É o oposto. A Coreia do Norte está fazendo menos ataques, porém maiores — e dois deles bastaram para abocanhar o ano. Drift e KelpDAO não foram bugs explorados por acaso: foram operações de alvo único, planejadas por meses, com nove dígitos de retorno cada.
O contraste com o passado é gritante. Em 2020, atores ligados à Coreia do Norte respondiam por menos de 10% do roubo global de cripto. Em 2025, o regime levou um recorde de cerca de US$ 2,02 bilhões — alta de 51% no ano —, elevando o acumulado desde 2017 para mais de US$ 6 bilhões. A trajetória é de concentração: à medida que as cifras por golpe explodem, a fatia de um único Estado no total cresce. Cripto deixou de ser alvo de oportunistas e virou objeto de uma política de Estado.
O padrão não é novo — é a assinatura do regime. O recorde de 2025 foi puxado por um único evento: o roubo de cerca de US$ 1,5 bilhão à Bybit no início do ano, o maior hack da história das criptomoedas, também atribuído ao Lazarus. Um golpe definiu o ano de 2025; dois golpes definiram 2026. A Coreia do Norte descobriu que não precisa de volume — precisa de uma operação cirúrgica de nove ou dez dígitos por janela. É a diferença entre um ladrão de carteiras e um assaltante de banco central.
A morte do hacker solitário
Por trás dos golpes está a Reconnaissance General Bureau (RGB), a agência de inteligência norte-coreana, operando através do Lazarus Group e de suas subunidades. Não é um coletivo anárquico — é uma estrutura hierárquica, com metas, orçamento e um destino claro para o dinheiro: o programa de armas e mísseis do regime, sob pesadas sanções internacionais.
É isso que muda a natureza do problema. Quando o Crypto Crime Report 2026 da Chainalysis descreve a passagem de hackers solitários para uma infraestrutura criminosa de larga escala, a Coreia do Norte é o caso-limite: um país inteiro transformado em operação de roubo cibernético com fins de financiamento militar. Cada exploit de DeFi atribuído ao Lazarus não é só prejuízo de um protocolo — é uma transferência de capital para um programa de armas.
A dimensão econômica é o que torna o tema incontornável. Estimativas de painéis de especialistas da ONU vêm apontando, há anos, que o roubo de criptoativos financia parcela expressiva do programa de armas de destruição em massa do regime — uma fonte de receita que driblou camadas sucessivas de sanções comerciais. Para uma economia isolada e sob embargo, alguns bilhões de dólares em cripto líquida por ano não são troco: são uma das principais linhas de financiamento de mísseis balísticos. É por isso que cada cifra roubada importa muito além do book de um protocolo de DeFi.
O playbook não é exploit — é gente
Aqui está o engano mais perigoso do mercado: achar que se defende da Coreia do Norte auditando smart contract. O vetor principal do Lazarus não é o código. É a pessoa.
O ataque à Drift é o retrato do método: uma operação de seis meses, com identidades profissionais falsas, presença em conferências do setor por meio de proxies e construção paciente de relacionamento com alvos específicos até obter o acesso. Em paralelo, a Fireblocks documentou campanhas de entrevistas de emprego falsas — recrutadores fantasmas, entrevistas por Google Meet, testes técnicos enviados via GitHub que, ao serem rodados, instalavam malware capaz de expor carteiras, chaves e sistemas de produção. É o mesmo DNA do "Mach-O Man", o malware para macOS distribuído via Zoom falso para executivos de cripto que mapeamos em abril.
Há ainda a estratégia "Wagemole": infiltrar trabalhadores de TI norte-coreanos, com identidades fraudulentas, dentro de empresas legítimas do mundo todo. Uma vez contratados, atuam como funcionários comuns enquanto repassam inteligência aos times de ataque ou facilitam o roubo por dentro. A superfície de ataque deixou de ser o perímetro técnico e passou a ser o RH.
Como o dinheiro some
Roubar é metade do trabalho; o resto é lavar. Depois que os Estados Unidos sancionaram o Tornado Cash e o Sinbad.io, os operadores da Coreia do Norte migraram os fluxos de lavagem para pontes cross-chain — sobretudo THORChain e LI.FI —, fazendo "chain hopping": convertem Ethereum em Bitcoin, depois em stablecoins como o DAI, saltando de blockchain em blockchain para embaralhar o rastro.
Não é coincidência que a THORChain apareça tanto na lavagem quanto na lista de pontes exploradas que cobrimos no cluster de três pontes em quatro dias. A infraestrutura cross-chain virou, ao mesmo tempo, alvo e lavanderia. A resposta possível é o congelamento na camada do emissor — como quando a Tether congelou USDT a pedido do OFAC —, mas isso só funciona para stablecoins centralizadas e quando a atribuição chega a tempo.
Por que isso é geopolítica, não suporte técnico
Vale fechar com o contraste que ronda toda a nossa cobertura de cyber. No caso do Comando Vermelho, o crime cripto é territorial e analógico na entrada — um gato de luz numa favela do Rio. Na Coreia do Norte, ele é estatal e sofisticado da entrada à saída: agência de inteligência, engenharia social de seis meses, lavagem cross-chain. São os dois extremos do mesmo espectro — e ambos terminam no mesmo lugar, a blockchain, porque ela é a única camada de liquidação que não pede licença nem devolve dinheiro.
Para um protocolo de DeFi, a consequência prática é dura: o adversário relevante não é mais o script kiddie atrás de um reentrancy. É um Estado-nação com paciência de seis meses, orçamento de inteligência e um programa de mísseis para financiar. Defender-se disso é higiene de pessoal e de processo — verificação de identidade de candidatos, segregação de chaves, desconfiança de "recrutadores" —, não só auditoria de contrato.
A perspectiva ON3X
Três leituras para levar deste número:
- 76% com dois golpes é uma estatística sobre concentração, não sobre frequência. A Coreia do Norte não hackeia mais; hackeia maior. O risco sistêmico migrou da quantidade de ataques para o tamanho de cada um — e basta uma operação bem-sucedida por trimestre para dominar o ano inteiro.
- O elo mais fraco é humano, não técnico. Drift, Mach-O Man e as entrevistas falsas contam a mesma história: o Lazarus entra pela pessoa, não pelo código. Quem trata segurança cripto como problema de auditoria de smart contract está defendendo a porta errada.
- Todo hack do Lazarus é um problema de sanções. O dinheiro roubado financia armas sob embargo. Isso transforma cada exploit de DeFi em questão de segurança nacional — e explica por que congelamento de stablecoin, atribuição on-chain e cooperação entre analytics (Chainalysis, TRM, Elliptic) deixaram de ser detalhe técnico para virar instrumento de política externa.
Perguntas frequentes
A Coreia do Norte roubou mesmo 76% de todo o cripto em 2026?
Segundo a TRM Labs, atores ligados à Coreia do Norte responderam por cerca de 76% de todo o valor roubado em ataques cripto em 2026 até abril. O número é dominado por apenas dois golpes — Drift Protocol e KelpDAO —, que somaram aproximadamente US$ 577 milhões.
Quais foram os dois ataques?
O hack de cerca de US$ 285 milhões à Drift Protocol, revelado como uma operação de seis meses de engenharia social ligada à Coreia do Norte, e o exploit de aproximadamente US$ 292 milhões na ponte cross-chain da KelpDAO, atribuído pela Chainalysis ao Lazarus Group.
Como a Coreia do Norte lava o cripto roubado?
Após as sanções dos EUA ao Tornado Cash e ao Sinbad.io, os operadores migraram para pontes cross-chain como THORChain e LI.FI, fazendo "chain hopping" — convertem Ethereum em Bitcoin e depois em stablecoins como DAI, saltando entre blockchains para dificultar o rastreamento.
Por que isso importa além do mercado cripto?
Os recursos roubados financiam o programa de armas e mísseis da Coreia do Norte, sob sanções internacionais. Isso transforma cada exploit atribuído ao Lazarus em uma questão de evasão de sanções e segurança nacional, não apenas em prejuízo de um protocolo.