Relatório sobre ataques de criptomoedas na Coreia do Norte em 2026: Por que as explorações dos protocolos Drift e KelpDAO foram responsáveis ​​por 76% das perdas

Key Takeaways:

• Os agentes norte-coreanos agora priorizam ataques cirúrgicos de alto impacto contra estruturas e governos, responsáveis ​​por 76% de todas as perdas globais com hackers de criptomoedas no início de 2026. 
• Subgrupos como o TraderTraitor estão combinando engenharia social com sabotagem de infraestrutura, como evidenciado pelos ataques de US$ 577 milhões contra Drift e KelpDAO.
• Combater essas ameaças de precisão exige uma mudança de listas negras estáticas para KYT (Know Your Identity - Conheça Seu Cliente) e análises em tempo real para detectar pontos de preparação e bloqueio de saída antes que os fundos desapareçam.

Em 2026, o setor de ativos digitais chegou a uma constatação alarmante: a guerra cibernética patrocinada por Estados deixou de ser um ruído de fundo persistente para se tornar o principal fator de perdas globais no setor de criptomoedas. 

Descobertas recentes de Laboratórios TRM lançam luz sobre uma tendência impressionante. Somente nos primeiros quatro meses de 2026, grupos de hackers norte-coreanos foram responsáveis ​​por 76% de todos hack de criptomoeda perdas globaisEmbora o número total de incidentes permaneça baixo, sua precisão e escala são sem precedentes, com o roubo acumulado desde 2017 ultrapassando agora o total de casos. US$ 6 bilhões marca.

A Nova Estratégia: Precisão Acima da Frequência

Durante anos, a narrativa em torno dos ataques cibernéticos norte-coreanos focou no volume. Hoje, os dados revelam uma evolução tática. Em vez de lançar uma rede ampla, grupos de elite estão executando um número reduzido de operações cirúrgicas de alto impacto. 

Em abril de 2026, apenas dois incidentes—o Protocolo de Deriva ataque e o KelpDAO explorar—explicado $ 577 milhões em perdas. Esses dois eventos representaram apenas 3% do total de incidentes de hackers no ano, mas foram responsáveis ​​por mais de três quartos do valor total perdido. Essa mudança sinaliza uma tendência em direção a alvos de alta complexidade: pontes entre cadeias e sistemas de governança multisig.

O Golpe do Protocolo Drift: Uma Aula Magistral de Engenharia Social

O roubo de 285 milhões de dólares da Drift Protocol foi uma aula magistral de... infiltração em nível corporativo. 

A Infiltração: O Elemento Humano 

Durante meses, indivíduos se passando por desenvolvedores legítimos e parceiros institucionais construíram relacionamentos com a equipe do Drift. Esses intermediários eram tecnicamente fluentes e altamente profissionais, o que lhes permitiu se infiltrar na estrutura social do protocolo. Quando o ataque técnico começou, os atacantes já tinham a confiança das próprias pessoas que deveriam proteger o cofre.

Fase 1: Criação do recurso fantasma (11 de março) 

A preparação digital começou oficialmente em 11 de março. Exatamente às 9h da manhã, horário de Pyongyang, os atacantes transferiram 10 ETH da Tornado Cash para financiar sua infraestrutura. Seu primeiro passo foi "criar" um ativo fictício chamado Token CarbonVote (CVT).

Para um observador externo, o CVT parecia um projeto em crescimento. Os atacantes injetaram alguns milhares de dólares em pools de liquidez na Raydium e usaram bots de wash trading para criar um histórico falso de volume. Eles passaram semanas fabricando um "preço de mercado" de aproximadamente US$ 1.00. Os oráculos de preço da Drift — despreparados para um ativo manipulado sem nenhuma utilidade real — captaram esse sinal e começaram a tratar o CVT como garantia legítima.

Fase 2: A Armadilha do "Pedófilo Duradouro" (23 a 30 de março) 

Os atacantes se concentraram em um recurso do Solana chamado nonces duráveisNormalmente, uma transação Solana expira em cerca de 90 segundos. Um nonce durável permite que uma transação seja pré-assinada e mantida indefinidamente para ser transmitida posteriormente. Usando sua influência, os atacantes induziram os membros do Conselho de Segurança da Drift a pré-assinarem o que pareciam ser transações administrativas de rotina. Na realidade, eram "cheques em branco". Como foram assinadas usando nonces duráveis, os atacantes mantiveram essas autorizações como molas carregadas.

Fase 3: A Mudança Fatal de Configuração (27 de março) 

Em 27 de março, o Drift fez uma jogada estratégica que transformou um risco em catástrofe. O protocolo migrou seu Conselho de Segurança para uma nova configuração de limite de 2/5 e definiu o bloqueio de tempo para zeroNa maioria dos protocolos DeFi, um "bloqueio temporal" funciona como um período de reflexão, permitindo que a comunidade inspecione e "interrompa" uma ação. Ao removê-lo, a Drift eliminou a única janela de tempo que tinha para detectar uma transação fraudulenta antes que ela se tornasse definitiva.

Fase 4: A Execução de 12 Minutos (1º de abril) 

No dia 1º de abril, os atacantes se moveram com uma velocidade assustadora:

1. O Depósito: Eles depositaram centenas de milhões de tokens CVT "sem valor" na Drift.
2. A Manipulação: Como os oráculos acreditavam que o CVT valia US$ 1.00, o sistema viu um influxo maciço de garantias.
3. O ralo: Utilizando os "cheques em branco" pré-autorizados de março, eles aumentaram instantaneamente os limites de saque.

Em apenas 12 minutosEles executaram 31 saques pré-assinados, tomando emprestado ativos reais como USDC e JLP com garantias falsas. Os fundos foram transferidos para o Ethereum antes que a equipe da Drift pudesse reagir.

Exploração do KelpDAO: Sabotando a infraestrutura da ponte

Embora o ataque hacker ao Drift tenha se baseado em engenharia social, $ 292 milhões A exploração do KelpDAO foi um ataque técnico contra o infraestrutura de encanamento cruzado.

A vulnerabilidade: a fraqueza do verificador único 

A KelpDAO utilizou uma ponte LayerZero para seu token rsETH. Para reduzir custos e complexidade, a ponte foi configurada com um design de "verificador único". Isso significava que todo o sistema dependia de uma única fonte de verdade — a Rede de Verificação Descentralizada (DVN) da LayerZero Labs — para confirmar se os ativos haviam sido movimentados ou queimados. Não havia uma segunda opinião.

O Pretexto: Envenenando o Poço 

Os atacantes identificaram e comprometeram dois dos nós RPC internos da KelpDAO. Os nós RPC são essencialmente os "ouvidos" de uma aplicação blockchain. Eles informam ao software o que está acontecendo na rede. Uma vez dentro do sistema, os hackers substituíram o software do nó por uma versão "envenenada". Essa versão foi programada para mentir, relatando que rsETH havia sido queimado na blockchain de origem, mesmo quando tal transação não existia.

A Execução: O DDoS e o Failover (18 de abril) 

Em 18 de abril, os atacantes lançaram um ataque massivo de negação de serviço distribuída (DDoS) contra os nós RPC externos e íntegros que a ponte normalmente monitorava. À medida que os nós íntegros paravam de responder, o verificador da ponte seguiu seu protocolo de segurança: ele "alternou" para os únicos nós que ainda respondiam — os nós internos comprometidos.

Os nós envenenados forneceram ao verificador uma narrativa falsa. O verificador, vendo a "prova" de sua única fonte disponível, confirmou a mensagem fraudulenta entre cadeias. Isso permitiu que os atacantes drenassem os recursos. 116,500 rsETH do contrato de ponte Ethereum.

A Fuga Desordenada: Uma Confusão 

Ao contrário dos atacantes calmos da Deriva, o grupo KelpDAO — identificado como o TraderTraidor O subgrupo cometeu erros. Eles deixaram US$ 75 milhões em ETH na Arbitrum, uma plataforma centralizada de camada 2. Isso deu ao Conselho de Segurança da Arbitrum tempo suficiente para exercer seus poderes de emergência e congelar os fundos.

O congelamento desencadeou uma "corrida desenfreada". Os hackers transferiram freneticamente os US$ 175 milhões restantes. THORChainA troca de ETH por Bitcoin era realizada o mais rápido possível. Essa fase foi conduzida principalmente por intermediários chineses, revelando uma rede de lavagem de dinheiro fragmentada, porém eficiente.

O papel crucial do KYT e da análise de blockchain

Esses ataques representam um desafio fundamental à integridade do ecossistema cripto de 2026. Listas negras estáticas não são mais suficientes quando agentes estatais podem esperar meses para movimentar ativos roubados. É aqui que entra a questão. Conheça sua transação (KYT) e avançado análise de blockchain tornam-se mecanismos de defesa essenciais.

• Alerta em tempo real: As redes de alerta permitem avisos imediatos em diversas plataformas. Quando um endereço ligado à Coreia do Norte é identificado, as instituições são notificadas em minutos, não em dias, o que pode impedir um saque antes que ele seja concluído.
• Atribuição Multi-Hop: A triagem simples de "primeiro salto" é facilmente contornada. As análises modernas rastreiam os fundos através de dezenas de carteiras intermediárias e por meio de múltiplas pontes, identificando a verdadeira origem da riqueza.
• Monitoramento da Higiene da Ponte: Como demonstrado no ataque Drift, a vulnerabilidade residia na governança e na configuração multisig. Atualmente, ferramentas de análise auxiliam as empresas a monitorar a integridade e o comportamento dos protocolos com os quais interagem, sinalizando transações pré-assinadas suspeitas ou alterações nas configurações de bloqueio temporal.

Proteja sua infraestrutura com ChainUp KYT.

O setor não pode confiar apenas na permanência da segurança da blockchain. À medida que os hackers se tornam mais pacientes e sofisticados, as ferramentas de defesa precisam se tornar mais proativas.

ChainUp KYT Fornece o monitoramento de nível institucional necessário para navegar no cenário de ameaças de 2026. Nossa solução vai além da simples inclusão em listas negras, oferecendo:

• Monitoramento de transações em tempo real: Detectar e sinalizar fluxos suspeitos no momento em que entram na cadeia, permitindo intervenção imediata antes que os saques sejam processados.
• Rastreamento Multi-Hop Avançado: Veja além dos "saltos" e das carteiras intermediárias para identificar fundos originários de clusters norte-coreanos e explorações de pontes.
• Alertas de Governança de Protocolo: Monitore a integridade dos protocolos e pontes DeFi com os quais você interage, recebendo alertas sobre alterações de configuração arriscadas ou atividades multisig incomuns.
• Integração de conformidade perfeita: Desenvolvido para operadores de bolsas de valores e participantes institucionais que necessitam de dados clínicos precisos para atender aos padrões regulatórios globais.

Não espere até o próximo dreno de 12 minutos para perceber que suas defesas estão desatualizadas. Agende uma demonstração com a ChainUp hoje mesmo. Descubra como nossas soluções KYT podem fortalecer sua infraestrutura contra as ameaças mais sofisticadas do setor.