Operadores ligados à Coreia do norte do Norte teriam passado anos se infiltrando em empresas de criptomoedas e projetos DeFi. Segundo especialistas em segurança, essas ações expõem fragilidades estruturais relevantes no ecossistema. Além disso, os relatos apontam operações coordenadas e persistentes, o que amplia a preocupação entre desenvolvedores e investidores.

Infiltração prolongada levanta alerta no setor

A princípio, esse tipo de operação pode parecer improvável. No entanto, investigações recentes indicam atividades sofisticadas e contínuas. Conforme a pesquisadora de segurança da MetaMask, Taylor Monahan, essas infiltrações remontam aos primeiros anos do DeFi.

De acordo com a especialista, profissionais de TI ligados ao país atuaram discretamente em mais de 40 projetos ao longo de cerca de sete anos. Além disso, muitos desses indivíduos possuíam experiência técnica legítima em blockchain. Ainda assim, operavam sob identidades falsas ou roubadas, o que dificultava a detecção.

“Muitos desses desenvolvedores realmente têm anos de experiência em blockchain. O problema é quem eles realmente são.”

Esses agentes conseguiam se integrar às equipes por meio de processos tradicionais de contratação. Por exemplo, participavam de entrevistas, realizavam testes técnicos e assumiam funções remotas. Dessa forma, evitavam suspeitas iniciais e ganhavam acesso interno aos sistemas.

Um dos casos envolve um desenvolvedor identificado como “Tim”, associado ao projeto Titan, na rede Solana. Ele relatou que a equipe chegou a entrevistar um candidato altamente qualificado. Posteriormente, no entanto, surgiram indícios de ligação com o grupo Lazarus.

“Ele participou de entrevistas por vídeo e parecia extremamente competente. Só depois surgiram evidências de sua ligação com o Lazarus.”

O investigador on-chain ZachXBT reforçou que o Lazarus representa apenas parte de uma estrutura mais ampla. Além disso, essa rede incluiria unidades como APT38 e AppleJeus. Em conjunto, esses grupos utilizam métodos simples, porém eficazes, como contatos via LinkedIn, e-mail e plataformas de trabalho remoto.

Dados do Departamento do Tesouro dos EUA e análises da Chainalysis indicam que essas operações movimentaram cerca de US$ 800 milhões apenas em 2024. No acumulado desde 2017, os valores chegam a bilhões de dólares. Segundo autoridades, esses recursos podem ter sido direcionados a programas militares norte-coreanos.

Possíveis ataques reforçam ameaça interna

Mais recentemente, um ataque associado ao Drift Protocol, ocorrido em 1º de abril, reacendeu o alerta no setor. Embora os detalhes ainda estejam sob análise, o episódio foi atribuído com confiança moderada ao grupo UNC4736, ligado à Coreia do Norte.

O ataque foi atribuído com confiança moderada ao grupo UNC4736, ligado ao governo norte-coreano.

Segundo o protocolo, os invasores utilizaram engenharia social avançada. Em outras palavras, criaram identidades falsas, participaram de eventos presenciais e construíram relações com membros da equipe antes da execução do ataque. Esse padrão sugere planejamento de longo prazo.

Além disso, houve comprometimento de ferramentas amplamente utilizadas por desenvolvedores. Entre elas, ambientes como VS Code e Cursor teriam sido manipulados com códigos maliciosos. Como resultado, profissionais executaram repositórios comprometidos sem perceber.

Esse tipo de ação caracteriza um ataque à cadeia de suprimentos. Ou seja, vai além de falhas em contratos inteligentes e amplia significativamente o alcance das invasões.

Analistas também apontam semelhanças com outros incidentes relevantes, incluindo ataques anteriores atribuídos a grupos norte-coreanos. Conforme a Elliptic, padrões on-chain e estratégias de lavagem seguem modelos já identificados nesse tipo de operação.

Impactos estruturais no mercado de criptomoedas

Esse cenário reforça que os ataques deixaram de ser eventos isolados e passaram a representar um risco estrutural. Além disso, o tema envolve implicações de segurança nacional. Reguladores, portanto, intensificam ações contra redes de TI associadas à Coreia do Norte.

Para o mercado de criptomoedas, os efeitos são amplos. Por exemplo, há aumento nos custos de seguro, maior rigor em auditorias e risco de remoção de tokens de plataformas. Ademais, surgem disputas de governança sobre compensações e períodos prolongados de aversão ao risco.

No momento da publicação, o Bitcoin era negociado na faixa dos US$ 69 mil. Fonte: TradingView.

Em suma, os episódios envolvendo infiltração em projetos DeFi, uso de identidades falsas e ataques sofisticados indicam uma tendência preocupante. Agentes ligados à Coreia do Norte continuam explorando vulnerabilidades humanas e operacionais. Como consequência, o setor enfrenta desafios crescentes em segurança, governança e confiança.