A Kelp DAO sofreu um hack de US$ 292 milhões no sábado, superando a Drift como o maior exploit cripto do ano até agora. Hackers ligados à Coreia do Norte são suspeitos de estarem por trás do ataque.
A Kelp DAO disse na segunda-feira que o exploit decorreu de uma falha na infraestrutura do protocolo de mensagens cross-chain LayerZero. A LayerZero afirmou que a violação foi possibilitada pelo uso de uma configuração de verificador único pela Kelp DAO para aprovar mensagens entre cadeias.
A LayerZero disse que “indicadores preliminares” atribuíram o exploit ao TraderTraitor, um subgrupo da unidade de hackers patrocinada pelo Estado norte-coreano conhecida como Lazarus Group.
As descobertas do investigador blockchain Tanuki42 também encontraram ligações com o TraderTraitor. Tanuki42 disse na terça-feira que os fundos roubados no incidente da Kelp DAO foram misturados com exploits anteriores ligados ao mesmo grupo.
Embora a atividade cibernética da Coreia do Norte direcionada a plataformas DeFi tenha acelerado em abril, suas táticas também representam ameaça a empresas e usuários finais.
Esquemas cripto da Coreia do Norte voltam ao foco
O exploit do Dia da Mentira na exchange descentralizada Drift totalizou US$ 285 milhões, elevando o total de roubos cripto ligados à Coreia do Norte para pelo menos US$ 578 milhões em grandes incidentes ao longo do mês.
Os dois ataques são os maiores roubos cripto atribuídos a atores norte-coreanos desde o hack da Bybit.
A essa altura, a indústria cripto já percebeu que operadores ligados à Coreia do Norte se passam por desenvolvedores de TI para garantir empregos remotos em empresas de tecnologia. Pesquisadores de segurança e a Organização das Nações Unidas afirmam que essa tática gera milhões de dólares para apoiar os programas de armas do país.
Em março, o Departamento do Tesouro dos EUA sancionou seis indivíduos e duas entidades por seus supostos papéis em esquemas de fraude com trabalhadores de TI norte-coreanos. O FBI também emitiu orientações em junho recomendando que empregadores verifiquem o histórico profissional dos candidatos e exijam reuniões presenciais.
No entanto, o exploit da Drift sugere que os operadores cibernéticos de Pyongyang estão se adaptando. A plataforma DeFi disse que seus colaboradores foram abordados pessoalmente por indivíduos que se passavam por uma empresa de trading quantitativo em uma grande conferência cripto em novembro. Os atacantes continuaram a se comunicar e construir confiança antes da invasão.
Ataques de menor escala continuaram em paralelo. A carteira cripto Zerion afirmou que atores ligados à Coreia do Norte usaram engenharia social com auxílio de IA para roubar cerca de US$ 100.000 em um incidente separado.
A Coreia do Norte raramente responde a essas acusações, embora seu Ministério das Relações Exteriores tenha emitido uma declaração em maio de 2020 negando envolvimento em ataques cibernéticos e acusando os Estados Unidos de tentar manchar sua imagem.
Golpes cripto no varejo disparam com disseminação das táticas da DPRK
O Federal Bureau of Investigation (FBI) relatou um aumento de 21% nas reclamações relacionadas a crimes com criptomoedas em seu relatório de 2025 do Internet Crime Complaint Center (IC3). O FBI lançou o IC3 em 2000 como um portal para vítimas nos EUA reportarem fraudes online.
Casos envolvendo criptomoedas foram ligados a 181.565 reclamações em 2025, resultando em US$ 11,37 bilhões em perdas, mais da metade do total.
Americanos mais velhos, com 60 anos ou mais, registraram o maior número de reclamações relacionadas a cripto. Golpes de investimento foram a maior categoria, com 61.559 casos, incluindo 13.685 de pessoas com mais de 60 anos.
Isso não significa que o setor de varejo esteja imune às operações suspeitas da Coreia do Norte. Uma investigação publicada em novembro passado descobriu que operadores ligados à DPRK também recrutam indivíduos para apoiar esquemas de trabalhadores de TI remotos.
Ao longo de 2025, Heiner García, especialista em inteligência de ameaças cibernéticas da Telefónica, entrou em contato com um suposto operador norte-coreano.
García disse anteriormente à Cointelegraph que o indivíduo tentou usá-lo como proxy para contornar restrições de VPN impostas por plataformas de freelancers. A tática envolve usar o dispositivo da vítima em uma jurisdição local instalando softwares de acesso remoto como o AnyDesk.
Em agosto de 2024, o Departamento de Justiça dos EUA prendeu Matthew Isaac Knoot por operar uma “fazenda de laptops” que permitia que trabalhadores de TI da DPRK se passassem por funcionários baseados nos EUA usando identidades roubadas. Em julho de 2025, Christina Chapman foi condenada a mais de oito anos de prisão por ajudar trabalhadores norte-coreanos a gerar mais de US$ 17 milhões.
O trade-off por trás do congelamento de fundos roubados por atores ligados à DPRK
Um elemento único do hack da Kelp DAO foi a decisão do Conselho de Segurança da Arbitrum de congelar 30.766 ETH ligados ao exploit.
O ethos cripto é a descentralização, mas respostas a grandes hacks continuam dividindo a indústria. Alguns projetos preferem intervenção mínima, mesmo quando especialistas em segurança pedem ação, deixando pouco consenso sobre quando é apropriado intervir.
O CTO da Ledger, Charles Guillemet, disse na terça-feira que o resultado foi “provavelmente” bom, mas não confortável. O congelamento provavelmente evitou perdas adicionais, mas expõe uma tensão importante.
O Conselho de Segurança da Arbitrum não explorou uma falha nem descobriu um backdoor. Ele exerceu sua autoridade prevista para sobrescrever o estado. Essa autoridade existe por design e entra em conflito com a ideia de uma infraestrutura neutra e confiável. Na prática, ativos em rollups atuais ainda podem ser afetados por decisões de governança em certas condições.
Guillemet relaciona esse trade-off ao ambiente de ameaças. O exploit da Kelp DAO não dependeu de um bug inédito de smart contract. Ele expôs fraquezas em infraestrutura e configuração, mostrando como ataques estão migrando além do código para os sistemas que o sustentam.
Ao mesmo tempo, grupos ligados à Coreia do Norte evoluíram para adversários persistentes e bem financiados, capazes de explorar esses sistemas em múltiplas frentes.
Isso deixa a indústria dividida entre aceitar intervenções ou aceitar perdas irreversíveis.
