Coreia do Norte nega roubo de criptomoedas e culpa mídia
Pyongyang negou oficialmente ligação com hacks bilionários a exchanges de cripto. O histórico de ataques e as evidências on-chain contam outra história.
A Coreia do Norte decidiu quebrar o silêncio. Em comunicado oficial divulgado pela agência estatal KCNA, Pyongyang classificou como fabricação as acusações de que o regime estaria por trás de roubos bilionários a plataformas de criptomoedas. O governo chamou os veículos que noticiaram os ataques de “mídia reptiliana” e negou qualquer envolvimento com grupos hackers.
O timing não é acidental. Nos últimos meses, o Lazarus Group, coletivo de hackers atribuído ao regime norte-coreano por agências de inteligência ocidentais, foi vinculado ao maior roubo da história cripto: os US$ 1,4 bilhão subtraídos da exchange Bybit em fevereiro. A negação de Pyongyang chega enquanto investigadores on-chain continuam rastreando os fundos.
O que Pyongyang disse e por que agora
O comunicado norte-coreano, publicado no final de semana, não mencionou o caso Bybit especificamente. Em vez disso, atacou de forma genérica o que chamou de “campanha difamatória dos Estados Unidos e seus aliados” para justificar sanções econômicas.
É a primeira vez que o regime aborda publicamente as acusações de forma tão direta. Até então, a estratégia de Pyongyang havia sido o silêncio. A mudança de postura sugere que a pressão internacional pode estar gerando incômodo real, especialmente porque as sanções relacionadas a ciberataques dificultam o acesso do regime ao sistema financeiro global.
Especialistas em geopolítica asiática interpretam o comunicado como um movimento diplomático. A Coreia do Norte estaria tentando criar narrativa alternativa antes de possíveis novas rodadas de sanções no Conselho de Segurança da ONU, onde o tema dos ciberataques norte-coreanos voltou à pauta.
O que as evidências on-chain mostram
Enquanto Pyongyang nega, os dados na blockchain contam uma história detalhada. Como reportamos em análises anteriores sobre segurança cripto, firmas especializadas como Chainalysis e Elliptic conseguem rastrear o fluxo de fundos roubados com precisão crescente.
No caso da Bybit, os investigadores identificaram que os US$ 1,4 bilhão em Ethereum roubados foram rapidamente convertidos em Bitcoin através de pontes cross-chain e mixers. O padrão de movimentação, segundo relatório da Chainalysis publicado em março, é consistente com operações anteriores atribuídas ao Lazarus Group.
As estimativas compiladas pelo FBI e por pesquisadores independentes indicam que a Coreia do Norte acumulou mais de US$ 3 bilhões em criptomoedas roubadas entre 2017 e 2025. Esses recursos, segundo relatórios da ONU, financiam o programa nuclear e de mísseis balísticos do regime.
O histórico do Lazarus Group no mercado cripto
O Lazarus Group não surgiu do nada. O coletivo ganhou notoriedade em 2014, com o ataque à Sony Pictures, e migrou para o setor financeiro e cripto na sequência. Os ataques mais relevantes incluem o hack de US$ 625 milhões à Ronin Network (ponte do jogo Axie Infinity) em 2022 e o roubo de US$ 100 milhões da Harmony Bridge no mesmo ano.
O que torna o grupo particularmente perigoso é a sofisticação das técnicas. Diferente de hackers oportunistas, o Lazarus conduz operações que levam meses de preparação. No caso da Bybit, há indícios de que os atacantes infiltraram a infraestrutura de assinatura de transações da exchange semanas antes do roubo propriamente dito.
A lavagem dos fundos também segue padrão específico. Os hackers utilizam combinações de mixers como o Tornado Cash, pontes entre blockchains e, mais recentemente, exchanges descentralizadas com liquidez profunda para diluir o rastreamento. Mesmo assim, as ferramentas de análise on-chain conseguem acompanhar parcela significativa dos movimentos.
Impacto para o mercado e para a regulação
Os hacks norte-coreanos não são apenas uma questão de segurança nacional. Eles têm impacto direto na forma como reguladores enxergam o ecossistema cripto. Cada grande roubo reforça o argumento de legisladores mais conservadores de que o mercado precisa de supervisão mais rígida.
Nos Estados Unidos, o caso Bybit já foi citado em audiências do Comitê de Serviços Financeiros da Câmara como justificativa para acelerar a regulamentação de exchanges. Na Europa, o framework MiCA ganhou apoio adicional após o episódio. O debate regulatório global está sendo moldado, em parte, pela atividade hacker de Pyongyang.
Para fundos de investimento com exposição a criptomoedas, os riscos de custódia associados a hacks representam preocupação crescente. Segundo levantamento da Fireblocks, seguradoras aumentaram em até 40% o prêmio de apólices para custódia de ativos digitais após o incidente da Bybit.
Negação não apaga o rastro digital
A ironia da negação norte-coreana é que ela esbarra na transparência inerente da blockchain. Diferente de ataques cibernéticos tradicionais, onde a atribuição depende em grande parte de inteligência humana e interceptação de comunicações, roubos de criptomoedas deixam rastro público e permanente.
Cada transação dos fundos roubados está registrada e visível para qualquer pessoa com acesso a um explorador de blocos. As técnicas de ofuscação retardam a análise, mas não a impedem. É uma dinâmica peculiar: o instrumento escolhido para o crime é justamente aquele que torna a evidência mais duradoura.
Pyongyang pode chamar a imprensa de “reptiliana”, mas as provas estão escritas em código aberto. O mercado cripto aprendeu, da forma mais cara possível, que segurança não é opcional. E que a maior ameaça ao ecossistema talvez não venha de reguladores, mas de um pequeno país com grande capacidade cibernética e poucos escrúpulos sobre como financiar seus objetivos.
