Hackers ligados à Coreia do Norte roubaram cerca de US$ 577 milhões em criptomoedas nos quatro primeiros meses de 2026, o equivalente a 76% de todas as perdas globais com ataques ao setor no período, segundo relatório da empresa de inteligência blockchain TRM Labs. O dado chama atenção não apenas pelo volume, mas pela concentração: praticamente todo esse valor veio de apenas dois ataques em abril, contra o Drift Protocol e a KelpDAO.De acordo com a TRM, o ataque à KelpDAO resultou na perda de US$ 292 milhões, enquanto a invasão ao Drift Protocol levou outros US$ 285 milhões. Juntos, os dois casos representaram apenas 3% do número total de incidentes registrados em 2026 até abril, mas responderam por mais de três quartos do valor roubado no mercado cripto no período.A concentração reforça uma característica já conhecida da atuação norte-coreana no setor: em vez de uma grande quantidade de ataques menores, os grupos associados ao país tendem a mirar poucos alvos de alto valor, com operações complexas e preparadas com antecedência. Segundo a TRM, os roubos atribuídos à Coreia do Norte já somam mais de US$ 6 bilhões desde 2017.A fatia dos hackers norte-coreanos nas perdas globais também vem crescendo. A participação era inferior a 10% em 2020 e 2021, passou para 22% em 2022, 37% em 2023, 39% em 2024 e 64% em 2025. Nos quatro primeiros meses de 2026, chegou a 76%, maior nível sustentado já registrado pela empresa.Ataques exploraram engenharia social e falhas em pontesNo caso do Drift Protocol, a TRM afirma que o ataque foi realizado por um subgrupo norte-coreano diferente do TraderTraitor, operação associada ao Lazarus Group. A campanha teria envolvido meses de engenharia social e reuniões presenciais entre representantes norte-coreanos e funcionários do Drift.A preparação técnica começou em 11 de março, semanas antes do roubo. Os invasores criaram contas de “durable nonce” na Solana, recurso que permite que transações pré-assinadas continuem válidas por tempo indeterminado, e conseguiram induzir membros do Security Council multisig do Drift a pré-autorizarem operações que depois seriam usadas no ataque.Leia também: KelpDAO sofre o maior hack DeFi do ano e provoca saques de US$ 10 bilhõesNo dia 1º de abril, poucos dias depois de o Drift migrar seu Security Council para uma configuração 2 de 5 sem período de espera, o invasor executou 31 saques pré-assinados em cerca de 12 minutos. Os recursos drenados foram convertidos e enviados para a Ethereum, onde permanecem em grande parte parados desde então.Já o ataque à KelpDAO seguiu outro caminho. Segundo a TRM, os hackers exploraram uma falha no desenho de verificação de uma ponte LayerZero usada pelo protocolo, comprometeram nós RPC internos e fizeram o sistema validar dados falsos da blockchain. Como a estrutura dependia de apenas um verificador, a manipulação foi suficiente para aprovar a mensagem fraudulenta.O resultado foi o saque de aproximadamente 116,5 mil rsETH, avaliados em US$ 292 milhões. A TRM atribuiu esse ataque ao TraderTraitor, grupo associado ao ecossistema Lazarus, e afirmou que parte da infraestrutura usada na operação tinha ligação com carteiras relacionadas a intermediários chineses e a roubos anteriores.Lavagem passa por pontes, Bitcoin e intermediáriosOs dois ataques também mostraram estratégias diferentes para movimentar os recursos roubados. No caso do Drift, os fundos foram enviados para Ethereum e ficaram praticamente parados, em um padrão que pode indicar uma tentativa de esperar meses ou anos antes de iniciar uma liquidação em etapas.No caso da KelpDAO, a movimentação foi mais rápida. Depois do roubo, parte dos recursos ficou na Arbitrum e cerca de US$ 75 milhões foram congelados pelo Security Council da rede. A partir daí, os hackers aceleraram a lavagem, convertendo aproximadamente US$ 175 milhões em ETH para Bitcoin, principalmente por meio da THORChain, protocolo de liquidez cross-chain sem exigência de KYC.Leia também: Projeto da Solana perde R$ 1,3 bilhão no 2º maior ataque da redeSegundo a TRM, a THORChain voltou a aparecer como uma rota relevante para recursos roubados pela Coreia do Norte. A empresa afirma que o protocolo processou a maior parte dos valores desviados tanto no ataque à Bybit, em 2025, quanto no caso da KelpDAO, em 2026. Na fase atual, a lavagem dos recursos da KelpDAO estaria sendo conduzida em grande parte por intermediários chineses, e não diretamente pelos norte-coreanos.O relatório reforça que o problema não está apenas no volume roubado, mas na sofisticação crescente das operações. Para a TRM, os ataques recentes mostram que grupos ligados à Coreia do Norte estão priorizando pontes entre blockchains, sistemas de governança com múltiplas assinaturas e infraestrutura cross-chain — pontos que concentram grandes volumes de recursos e continuam sendo alvos críticos para o mercado cripto global.A porta de entrada para o bitcoin, a maior criptomoeda do mundo, está no MB. É simples, seguro e transparente. Deixe de adiar um investimento com potencial gigantesco. Invista em poucos cliques!O post Coreia do Norte já responde por 76% das perdas com hacks cripto em 2026 apareceu primeiro em Portal do Bitcoin.