Grupo Lazarus suspeito de roubar 30 milhões USD do Upbit

Fonte: CryptoValleyJournal Título Original: Grupo Lazarus suspeito de roubar 30 milhões USD da Upbit Link Original: https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ O notório grupo de hackers Lazarus da Coreia do Norte é suspeito de ter roubado cerca de 44,5 bilhões de won ( aproximadamente 30,4 milhões de dólares) da Upbit – de longe a maior bolsa de criptomoedas da Coreia do Sul.

A bolsa relatou retiradas incomuns de ativos criptográficos baseados em Solana e imediatamente suspendeu todos os depósitos e retiradas. De acordo com a agência de notícias sul-coreana Yonhap, as autoridades estão se preparando para uma inspeção no local na Upbit, uma vez que o padrão do ataque se assemelha ao de 2019 – quando 342.000 ETH ( hoje valendo quase 1 bilhão USD) foram roubados da bolsa. A polícia sul-coreana já concluiu em 2024 que o Grupo Lazarus estava por trás desse roubo. Pelo menos 24 tokens baseados em Solana foram drenados de uma carteira quente comprometida. Dados onchain mostram que uma carteira ligada ao ataque já começou a trocar Solana por USDC e a mover fundos através de pontes para Ethereum.

Tática comprovada: engenharia social em vez de exploração técnica

O método suspeito dos atacantes segue um padrão familiar: em vez de atacar servidores diretamente, os hackers provavelmente comprometeram contas de administrador ou se passam por administradores para autorizar transações. Este método de engenharia social tem se mostrado extremamente lucrativo para o Grupo Lazarus.

O atual caso da Upbit junta-se a uma longa série de roubos de criptomoedas de alto perfil. Somente em 2025, hackers norte-coreanos roubaram mais de 2 mil milhões de dólares em criptomoedas – o total anual mais elevado já registado. A maior parte desse valor veio do roubo de 1,46 mil milhões de dólares da plataforma de negociação certa em fevereiro de 2025. Ataques adicionais visaram a LND.fi, WOO X e Seedify.

Olhar mais para trás revela a escala total: o Lazarus Group é acusado de roubos que totalizam entre 5 e 6 mil milhões de dólares de 2017 a 2025. Entre os casos mais espetaculares estão o hack do Ronin Bridge em março de 2022, envolvendo 625 milhões de dólares, e o ataque de 100 milhões de dólares ao Harmony Horizon Bridge em junho de 2022. Em ambos os casos, o FBI confirmou a participação do grupo de hackers norte-coreano. Além disso, os perpetradores usaram sistematicamente o mixer Tornado Cash para lavagem de dinheiro, canalizando mais de 555 milhões de dólares destes dois hacks através do serviço.

Financiamento estatal através do cibercrime: o modelo de negócio da Coreia do Norte

O que distingue esses ataques do cibercrime típico é a sua dimensão geopolítica. O governo norte-coreano depende de uma ampla gama de atividades ilícitas, incluindo cibercrime, para gerar receita para os seus programas de armas de destruição maciça e mísseis. Hackers ligados ao Estado são explicitamente encarregados de obter moeda estrangeira através de meios ilegais.

Os números são alarmantes. As criptomoedas roubadas podem representar até 13 por cento do PIB da Coreia do Norte. Algumas estimativas sugerem que mais da metade do orçamento para o desenvolvimento de mísseis é financiado através do cibercrime. Um relatório da Equipa de Monitorização de Sanções Multilaterais das Nações Unidas, intitulado “A Violação e Evasão das Sanções da ONU pela RPDC Através das Atividades de Trabalhadores de Tecnologia da Informação e Cibernética”, sublinha que as atividades cibernéticas maliciosas da Coreia do Norte representam uma ameaça à segurança internacional.

Em novembro de 2025, o Departamento do Tesouro dos EUA respondeu com sanções contra oito indivíduos e duas organizações envolvidas na lavagem de lucros provenientes do cibercrime norte-coreano. Entretanto, as táticas do Grupo Lazarus evoluíram: enquanto ataques anteriores frequentemente exploravam vulnerabilidades técnicas dentro da infraestrutura de criptomoedas, a maioria dos hacks em 2025 foi realizada através de engenharia social. Esta mudança complica significativamente a defesa, uma vez que os humanos continuam a ser o elo mais fraco na cadeia de segurança.

A dominância da Upbit e a questão da segurança das exchanges

O ataque atinge o ponto mais vulnerável do ecossistema cripto da Coreia do Sul. De acordo com o regulador financeiro sul-coreano FSS, a Upbit controla 71,6 por cento do volume de negociações cripto domésticas – processando 833 trilhões de won (642 bilhões de dólares) em transações cripto apenas nos primeiros seis meses de 2025. Algumas fontes citam até uma quota de mercado superior a 80 por cento. Mais de 2 bilhões de dólares mudam de mãos na plataforma todos os dias.

O próximo maior concorrente, Bithumb, alcança apenas 25,8 por cento de participação no mercado. Exchanges menores como Coinone, Korbit e GOPAX juntas contribuem com menos de 5 por cento do volume de mercado. Esta extrema concentração torna a Upbit um alvo altamente atrativo para hackers apoiados pelo estado e levanta questões fundamentais sobre a arquitetura de segurança das exchanges centralizadas.

A Upbit respondeu imediatamente: o operador Dunamu anunciou que todos os usuários afetados seriam totalmente compensados e suspendeu temporariamente as transações. Mas o incidente mostra quão frágeis podem ser até mesmo as plataformas líderes de mercado. Apenas dois dias antes do ataque, o gigante tecnológico sul-coreano Naver anunciou planos para adquirir a Upbit por 10,3 bilhões de dólares – a maior aquisição na história da Coreia do Sul. O ataque provavelmente atrasará a transação e intensificará os procedimentos de due diligence.

Impotência regulatória contra ataques patrocinados pelo Estado

O caso Upbit destaca um dilema fundamental. Mesmo que as exchanges cumpram requisitos regulatórios rigorosos, continuam vulneráveis a atacantes altamente profissionais e financiados por estados. O arsenal cibernético da Coreia do Norte foi construído ao longo dos anos e possui recursos muito além dos de atores criminosos comuns. A aplicação da lei transfronteiriça atinge seus limites ao confrontar esses operacionais apoiados pelo estado. Embora as autoridades ocidentais possam impor sanções e desmantelar redes de lavagem de dinheiro, o regime em Pyongyang permanece intocável. Os fundos roubados fluem através de serviços de mixer complexos e exchanges descentralizadas antes de serem convertidos em moedas fiduciárias ou usados para compras de armas.

Para os investidores e para a indústria, isso tem implicações concretas. Manter grandes saldos de criptomoedas em exchanges centralizadas envolve um risco que nenhuma quantidade de regulamentação pode eliminar completamente. Soluções de custódia institucional com carteiras multi-assinatura, módulos de segurança de hardware e sistemas de armazenamento a frio distribuídos geograficamente estão se tornando o padrão para participantes do mercado profissional.

Próximos passos para Upbit

As autoridades sul-coreanas anunciaram uma inspeção no local na Upbit nos próximos dias. O foco será em como os atacantes conseguiram acesso às contas de administrador e se os protocolos de segurança interna foram violados. Se a negligência ou uma arquitetura de segurança inadequada puderem ser comprovadas, a Upbit enfrenta penalizações significativas.

Para a aquisição planeada pela Naver, o hack é um revés. Alguns analistas esperam que a transacção seja reavaliada, com a Naver a potencialmente pressionar por um preço de compra mais baixo. Se a aquisição falhar totalmente, isso poderá moldar fundamentalmente o panorama fintech da Coreia do Sul e dar às pequenas bolsas uma oportunidade de recuperar quota de mercado. Internacionalmente, o caso deverá aumentar a pressão sobre os serviços de mixer e as moedas de privacidade. Os Estados Unidos e a UE já anunciaram planos para endurecer a regulação das ferramentas de lavagem de dinheiro.

O hack da Upbit é mais do que apenas outra entrada na longa lista de roubos de criptomoedas. Mostra que o cibercrime patrocinado pelo estado se tornou uma ameaça séria para a indústria, e que nem a regulamentação nem a tecnologia sozinhas podem fornecer uma solução. A resposta reside em uma combinação de padrões de segurança robustos, cooperação internacional em aplicação da lei e uma repensação fundamental da custódia de ativos digitais.