Grupo Lazarus é o principal suspeito de hack de US$ 36 milhões contra a Upbit

Investigação aponta comprometimento de contas administrativas; Dunamu promete cobrir integralmente as perdas enquanto rastreamento on-chain avança

Investigadores sul-coreanos atribuíram ao grupo Lazarus o ataque que drenou cerca de 45 bilhões de won (US$ 36 milhões) em criptoativos da Upbit, a maior corretora do país. Fontes do governo e da indústria apontam que a linha de investigação inclui uma vistoria in loco nas instalações, em busca de evidências sobre o vetor original da intrusão. A associação não é fortuita: os métodos observados agora ecoam um episódio de 2019, quando a mesma corretora perdeu o equivalente a 58 bilhões de won em Ethereum.

A operadora da Upbit, a Dunamu, confirmou a transferência não autorizada de aproximadamente 44,5 bilhões de won em ativos vinculados à Solana e garantiu que cobrirá integralmente o prejuízo com recursos próprios. Em casos assim, a resposta inicial costuma concentrar-se em isolar carteiras de operação, ajustar limites de saída e acionar a esteira de compliance para congelamentos coordenados, o que ajuda a conter efeitos de contágio. O recado ao usuário, nesse contexto, é de continuidade operacional, ainda que a investigação siga seu curso.

Método e vetor de ataque

Ao contrário de uma ofensiva clássica contra servidores, a hipótese dominante é a de comprometimento de contas administrativas ou a personificação de perfis com privilégios elevados para autorizar transações. Em segurança, isso desloca o foco do perímetro técnico para o humano: engenharia social, roubo de credenciais e abuso de sessão costumam ser portas de entrada mais silenciosas que uma exploração massiva. Não por acaso, os pontos de controle mais valiosos estão em mecanismos como chaves em hardware, políticas de múltiplas assinaturas e segregação rígida de funções – elementos que reduzem a superfície de ataque quando uma única credencial falha.

Lavagem e dispersão dos recursos

Após a violação, a tática descrita por autoridades é previsível e, justamente por isso, eficiente: transferir ativos para carteiras em outras corretoras, fracionar valores, converter entre tokens e repetir o processo. Essa coreografia de múltiplas transferências e conversões aumenta o atrito do rastreamento e tenta romper a trilha auditável on-chain. Ainda assim, a combinação de analytics e coordenação entre plataformas costuma recuperar parte das rotas, sobretudo quando há tentativa de conversão para moedas fiduciárias.

Timing e sinalização

O momento do ataque chamou atenção por ocorrer um dia após o anúncio de que a Dunamu se tornaria subsidiária integral de uma grande empresa local de tecnologia financeira. Em operações com essa visibilidade, o ganho simbólico pesa: há quem sustente que grupos como o Lazarus buscam também a autoexposição, escolhendo janelas de maior repercussão para maximizar impacto. Entre a necessidade de recursos em moeda forte e a vitrine geopolítica, o incentivo para ataques de alto perfil permanece.

O que fica para o mercado

Para as corretoras, o recado é insistente: reforçar governança de chaves, autenticação de alto nível para administradores, políticas de aprovação com múltiplos signatários e limites dinâmicos em carteiras quentes. Para os usuários, vale a distinção essencial entre o ativo e a fraude – o Bitcoin ou um token não cometem golpes, mas o ambiente em torno deles é um alvo que movimenta cifras grandes e atrai atores persistentes. A cobertura integral anunciada mitiga o dano imediato, porém a lição estruturante segue a mesma: controles de processo são tão críticos quanto firewalls e patches.

Para quem deseja compreender melhor como golpes se estruturam, por que alvos de alto valor são escolhidos e quais medidas práticas reduzem riscos no dia a dia, o BlockTrends oferece o curso Como se Proteger de Fraudes e Golpes, que explora desde a escalada de fraudes no mercado de cripto até medidas concretas de prevenção e resposta.