Coreia do Norte Responsável por 76% do Valor de Hacks de Cripto em 2026, Diz TRM Labs

— By Tony Rabbit in Markets

Coreia do Norte Responsável por 76% do Valor de Hacks de Cripto em 2026, Diz TRM Labs

A TRM Labs afirma que hackers ligados à Coreia do Norte foram responsáveis por aproximadamente 76% de todo o valor de cripto roubado em 2026, alcançado com apenas dois grandes ataques.

A empresa de inteligência de blockchain TRM Labs relatou que hackers ligados à Coreia do Norte foram responsáveis por cerca de 76% de todo o valor de cripto roubado em 2026, um número que a empresa afirma ter sido alcançado com apenas dois grandes ataques. A descoberta ressalta como um punhado de operações grandes e bem planejadas pode dominar um ano inteiro de perdas, mesmo enquanto centenas de incidentes menores continuam a prejudicar protocolos e usuários em todo o mercado.

O contexto para esse número principal é preocupante. Estimativas apontam para aproximadamente US$ 2,1 bilhões em perdas totais de cripto em muitos incidentes em 2026, e grupos ligados à República Popular Democrática da Coreia (RPDC) têm visado repetidamente grandes protocolos. O exploit do Drift Protocol, que drenou cerca de US$ 285 milhões, era suspeito de estar ligado à RPDC. Quando ataques dessa escala são bem-sucedidos, eles remodelam as estatísticas anuais por si só.

O Que a TRM Labs Encontrou

De acordo com a TRM Labs, atores ligados à Coreia do Norte foram responsáveis por aproximadamente 76% do valor roubado em cripto durante 2026. O detalhe impressionante é a eficiência: essa parcela veio de apenas dois grandes ataques, em vez de um gotejamento constante de roubos menores. Em outras palavras, um número minúsculo de violações causou a esmagadora maioria dos danos financeiros.

Esse padrão não é novo para as empresas que rastreiam atividades ilícitas on-chain, mas a concentração em 2026 se destaca. Isso nos diz que a ameaça mais perigosa para grandes protocolos não é necessariamente o volume de tentativas, mas a sofisticação e os recursos por trás dos poucos ataques que realmente são bem-sucedidos. Um ano pode ser relativamente tranquilo em termos de incidentes que chamam a atenção e ainda assim registrar perdas enormes se mesmo uma ou duas operações forem bem-sucedidas contra alvos de alto valor.

Para os analistas, a conclusão é que a atribuição e a prevenção devem se concentrar na parte superior da distribuição. Parar a próxima violação de nove dígitos importa muito mais para os números anuais do que bloquear mil tentativas de phishing de baixo valor, embora ambas mereçam atenção.

Conceito de gráfico mostrando hackers ligados à Coreia do Norte sendo responsáveis por 76% do valor de roubo de cripto em 2026

Por Que Poucos Ataques Podem Dominar o Ano

Pode parecer estranho que dois incidentes possam superar todo o resto combinado. A matemática é mais simples do que parece. As perdas de cripto são fortemente distorcidas: a maioria dos exploits rouba quantias modestas, mas um pequeno conjunto de violações atinge tesourarias, pontes ou grandes protocolos que detêm somas enormes em um único local. Quando um desses dá errado, a perda é medida em centenas de milhões, em vez de milhares.

Como a distribuição é tão desequilibrada, o total anual é essencialmente decidido pelos maiores eventos. Uma violação no valor de US$ 285 milhões, como a suspeita no Drift Protocol, pode superar milhares de pequenos golpes de phishing juntos. É por isso que os analistas se concentram tanto nos maiores incidentes ao avaliar o estado da segurança cripto.

Hacking Ligado ao Estado É uma Ameaça Distinta

Existe uma diferença importante entre exploits oportunistas e operações ligadas ao estado. Atacantes oportunistas tendem a escanear amplamente por alvos fáceis, explorar um bug conhecido e pegar o que puderem antes que a janela se feche. Eles são frequentemente limitados por tempo, habilidade e recursos.

Grupos ligados ao estado, como o Lazarus Group associado à Coreia do Norte, operam de forma diferente. Eles são bem-recursos, pacientes e capazes de investir em reconhecimento prolongado, ferramentas personalizadas e campanhas de engenharia social direcionadas a funcionários ou sistemas específicos. Eles podem passar semanas ou meses estudando um alvo antes de agir. Essa combinação de financiamento e persistência os torna uma categoria separada de ameaça, e ajuda a explicar por que os ataques atribuídos a eles são tão grandes.

Como os Fundos Roubados Se Movem

Uma vez que os fundos são roubados, o próximo desafio para esses grupos é lavá-los. Atores ligados ao estado geralmente movem ativos roubados por várias cadeias, usando mixers e padrões de salto complexos projetados para obscurecer o rastro. O objetivo é quebrar o vínculo entre o roubo original e o ponto final de saque.

Esse movimento entre cadeias é exatamente o que empresas de inteligência de blockchain como a TRM Labs trabalham para desvendar. Ao rastrear transações através de pontes, swaps e serviços de ofuscação, os investigadores podem, às vezes, reconstruir o caminho dos fundos roubados e atribuir um ataque a um grupo específico, mesmo quando os atacantes se esforçam para permanecer ocultos. Padrões de lavagem repetidos e reconhecíveis são frequentemente parte de como os analistas conectam uma nova violação a um grupo estabelecido, em vez de a um atacante único.

A fase de lavagem também importa porque é onde alguns fundos podem ocasionalmente ser congelados ou recuperados. Quanto mais saltos e cadeias envolvidos, mais difícil isso se torna, e é por isso que a velocidade e a coordenação entre exchanges, empresas de análise e protocolos podem fazer uma diferença significativa após um grande roubo.

Conceito de diagrama de fundos cripto roubados movendo-se entre cadeias através de mixers e padrões de salto complexos

O Que Isso Significa Para Protocolos e Usuários

A concentração de perdas em poucos grandes ataques traz uma lição clara para os desenvolvedores. Auditorias importam, mas são apenas uma camada. Muitas das maiores violações envolvem fraquezas operacionais, como chaves comprometidas, engenharia social ou acesso interno, em vez de uma única linha de código negligenciada. Segurança operacional robusta, controles de acesso cuidadosos e monitoramento contínuo são tão importantes quanto a própria revisão de código.

Para os usuários comuns, a conclusão é cautela, em vez de alarme. Tratar as chaves da carteira com cuidado, ser cético em relação a mensagens e links inesperados e entender que mesmo protocolos bem conhecidos podem ser alvo são todos hábitos razoáveis. Ferramentas que ajudam os usuários a pesquisar tokens e atividades on-chain, incluindo plataformas como DEXTools, podem apoiar decisões mais informadas, embora nenhuma ferramenta remova o risco completamente. Nada disso é aconselhamento financeiro, e não há atalhos para a segurança perfeita.

O Que Observar

O número da TRM Labs é um instantâneo de um ano definido por um pequeno número de eventos desproporcionais. As questões daqui para frente são se os protocolos podem fortalecer as camadas operacionais e humanas que esses ataques exploram, e se os investigadores podem acompanhar o ritmo à medida que as técnicas de lavagem se tornam mais complexas. Com aproximadamente US$ 2,1 bilhões em perdas totais já atribuídas em incidentes de 2026, a pressão sobre defensores e analistas on-chain dificilmente diminuirá em breve.

Por enquanto, a mensagem principal é direta. O setor de cripto enfrenta um adversário bem-recursos e ligado ao estado que não precisa de muitos sucessos para causar danos sérios. Observar como os maiores protocolos respondem e quão rapidamente a indústria aperta sua cultura de segurança dirá muito sobre como 2027 se desenrolará.