Por que a Coreia do Norte continua roubando bilhões em cripto — às claras

Sanções, incentivos e falhas técnicas explicam a persistência dos ataques em um ecossistema público por design, mas com gargalos de execução e fiscalização.

O roubo sistemático de criptoativos por agentes ligados à Coreia do Norte deixou de ser exceção para se tornar um componente previsível do ecossistema. A pergunta central não é apenas “como”, mas “por que” isso persiste, mesmo quando cada passo entre carteiras fica registrado em blockchains públicas. A resposta combina incentivos econômicos de um regime sob sanções, vetores técnicos repetidos e uma arena global com desigualdade de fiscalização, onde liquidez e velocidade favorecem quem ataca.

Do ponto de vista econômico, sanções restringem o acesso a moedas fortes e canais bancários tradicionais, criando pressão para buscar fontes alternativas de financiamento. Criptoativos oferecem liquidez quase instantânea, mercados 24/7 e inúmeras portas de saída — de exchanges a protocolos descentralizados — que, somados, reduzem o custo operacional para ciberataques. Some-se a isso a assimetria: o custo de explorar uma permissão mal configurada, credenciais expostas ou um contrato vulnerável é baixo quando comparado ao potencial de captura de valor, o que mantém o ciclo atrativo.

Os vetores: da engenharia social aos contratos

Na prática, os ataques raramente dependem de “magia” criptográfica. O caminho mais comum passa por engenharia social (phishing direcionado a desenvolvedores e equipes de operações), comprometimento de endpoints e vazamento de chaves privadas. Em protocolos, alvos frequentes incluem pontes entre redes (com validações frágeis ou configurações de multisig mal auditadas), oráculos e funções administrativas expostas. Em contas pessoais e de equipes, permissões exageradas concedidas a dApps e a ausência de segregação de chaves funcionam como porta de entrada silenciosa para drenos.

Após a intrusão, a etapa seguinte é fragmentar e ofuscar. Isso costuma envolver “hopping” entre cadeias, uso de misturadores e a conversão em ativos com maior liquidez antes de buscar saídas em jurisdições com menor supervisão. Tudo ocorre em rede pública, mas em cadência e volume que desafiam equipes de compliance e fiscalização, especialmente quando a contraparte se beneficia de proteção estatal e barreiras diplomáticas.

Por que “às claras” funciona

A transparência on-chain, por si só, não impede movimentações; ela documenta. O gargalo está na capacidade de resposta. A cooperação internacional é lenta, as listas de endereços sancionados reagem ao que já aconteceu e a triagem de alertas on-chain enfrenta alto ruído. Enquanto isso, os atacantes adotam táticas iterativas: testam pequenos fluxos, medem reação, ajustam a trilha e aceleram a dispersão. Em mercados com liquidez ampla e ferramentas permissionless, a janela entre o ataque e a inefetivação de rotas é estreita — e, muitas vezes, suficiente.

Há também um componente organizacional. Grupos patrocinados por Estados operam com tempo, disciplina e pipeline de alvos, reciclando métodos que já funcionaram. O objetivo não é a perfeição técnica, mas a repetição estatisticamente vantajosa: se uma parte das iscas em e-mails, atualizações falsas de software ou propostas a equipes de projetos converte, o resultado agregado compensa perdas e bloqueios ao longo do caminho. A natureza global e sem fronteiras do setor completa o quadro.

Implicações para o mercado

Para empresas e protocolos, a agenda de mitigação precisa ir além de auditorias pontuais, incorporando gestão de chaves com segregação de funções, limites dinâmicos, monitoramento de permissões e respostas automatizadas a anomalias. Para usuários, o principal risco continua sendo comportamental: aprovações irrestritas, falta de verificação de contratos e exposição de dispositivos abrem caminho para golpes que, no agregado, sustentam o ecossistema de ataques. Diferenciar o ativo (a infraestrutura do Bitcoin e de outras redes) das fraudes que se valem dele é crucial para calibrar o debate.

Para quem deseja compreender melhor como esses golpes se estruturam, quais sinais precoces observar e quais práticas reduzem a superfície de ataque, o BlockTrends oferece o curso Como se Proteger de Fraudes e Golpes, que explora o crescimento do mercado de criptoativos, as táticas de fraude mais comuns e medidas práticas de proteção para pessoas e equipes. Em um ambiente em que atores estatais e oportunistas compartilham métodos, informação e disciplina operacional seguem sendo a primeira linha de defesa.