Ciberataques a exchanges de criptomoedas: O caso Upbit e a Coreia do Norte

Pontos principais

• Hackers norte-coreanos têm visado repetidamente as exchanges de criptomoedas sul-coreanas, com a Upbit sofrendo roubos significativos.
• Os ataques fazem parte de uma luta geopolítica mais ampla, onde a Coreia do Norte usa criptomoedas roubadas para financiar seus programas de mísseis.
• As exchanges de criptomoedas sul-coreanas enfrentam desafios significativos na proteção de ativos digitais contra grupos de hackers patrocinados pelo Estado, como o Lazarus Group.
• Apesar do aumento da regulação, a ameaça persistente de adversários cibernéticos exige vigilância contínua e inovação nas medidas de segurança.

WEEX Crypto News, 2025-11-27 09:13:21

Introdução

Nos últimos anos, o mercado de criptomoedas na Coreia do Sul emergiu como uma das principais arenas para a guerra cibernética geopolítica, envolvendo principalmente hackers norte-coreanos. Conhecida por sua alta atividade de investidores de varejo e prêmios de liquidez, apropriadamente chamados de "kimchi premium", a indústria cripto da Coreia do Sul tornou-se tanto um alvo lucrativo quanto um ponto vulnerável para adversários cibernéticos apoiados pelo Estado. Este artigo investiga os ciberataques históricos e em curso, concentrando-se principalmente na maior exchange, a Upbit, que foi vitimizada várias vezes pelo que se acredita serem esforços de hackeamento da Coreia do Norte.

Uma breve crônica das violações

A jornada das exchanges na Coreia do Sul, particularmente a Upbit, assemelha-se a um ciclo de ataques e adaptações. O incidente mais recente, em 27 de novembro de 2025, marcou outro capítulo nesta saga. A Upbit relatou uma violação significativa onde os atacantes exploraram sua crypto wallet de Solana, resultando em uma perda de aproximadamente 540 bilhões de wones coreanos, equivalente a 36,8 milhões de USD. Este não foi um incidente isolado, mas parte de um padrão mais amplo de intrusões cibernéticas sofisticadas, levando a perdas acumuladas bem acima de 2 bilhões de USD a preços históricos.

A gênese em 2017

O ano de 2017 marcou o início de uma série implacável de roubos cibernéticos. A Bithumb, uma grande exchange sul-coreana, foi um dos primeiros grandes alvos. Hackers infiltraram-se nos computadores dos funcionários, extraindo dados pessoais de aproximadamente 31.000 usuários. Tais informações foram usadas para realizar ataques de phishing, resultando em perdas de cerca de 32 milhões de USD. As falhas destacaram medidas de segurança inadequadas e uma falta de higiene cibernética básica, o que abriu caminho para ataques direcionados subsequentes.

Os ataques a wallets em meados de 2018

Avançando para 2018, as exchanges coreanas continuaram a ser ímãs para o cibercrime. A Coinrail sofreu uma violação resultando em uma perda de 40 milhões de USD, com hackers visando os então populares tokens de ICO em vez de criptomoedas mais estáveis como Bitcoin ou Ethereum. Este incidente foi um testemunho da diversificação das estratégias de hackeamento, indo além dos ativos tradicionais para explorar a dinâmica do mercado. Compare isso com a perda da Bithumb de cerca de 31 milhões de USD em tokens XRP no mesmo mês, o que abalou a confiança do mercado e levou a um maior escrutínio regulatório.

O roubo na Upbit em 2019

Um momento decisivo foi o hack da Upbit em 2019, considerado o maior roubo individual daquela época na Coreia do Sul. Cerca de 342.000 ETH foram roubados em uma manobra estratégica enquanto os criminosos aproveitavam a reorganização da wallet interna da exchange. Investigações revelaram técnicas intrincadas de lavagem envolvendo peel chains, dispersando habilmente o ether roubado através de inúmeras transações e nações, complicando os esforços de recuperação.

Ameaças e perdas contínuas

Os ataques a exchanges de médio porte como a GDAC em 2023, que viram um roubo de 13 milhões de USD, destacaram ainda mais as ameaças persistentes que a indústria enfrenta. Para a Upbit, a história se repetiu na data exata em 2025, com perdas ecoando seu trauma passado. Este padrão de violações deixou claro que os marcos de conformidade e segurança como a Lei de Informação Financeira, implementada após 2019, embora necessários, são insuficientes dadas as táticas em evolução dos hackers apoiados pelo Estado.

A primazia do Lazarus Group

No centro de muitos desses ataques está o Lazarus Group, uma notória facção de hackers ligada ao Bureau Geral de Reconhecimento da Coreia do Norte. O Lazarus ganhou notoriedade pela primeira vez através de ataques de alto perfil fora do domínio cripto, como o hack da Sony Pictures em 2014 e o roubo ao Banco de Bangladesh em 2016. Desde que se voltaram para as criptomoedas, suas operações exploraram a menor supervisão regulatória e os padrões de segurança variáveis de exchanges como a Upbit.

Por que a Coreia do Sul?

Vários fatores tornam a Coreia do Sul um alvo irresistível para tais ataques:

• Tensão geopolítica: Ataques a exchanges sul-coreanas servem a um propósito duplo para a Coreia do Norte: levantar fundos e criar instabilidade em um estado inimigo.
• Kimchi Premium: Este fenômeno, impulsionado pelo entusiasmo local por criptomoedas, leva a pools de liquidez significativos em hot wallets, apresentando um ambiente rico em alvos tentadores para hackers.
• Vantagem cultural e linguística: Compartilhando laços linguísticos e culturais, os agentes norte-coreanos podem realizar ataques de engenharia social de forma mais eficaz, aumentando suas chances de sucesso.

O canal de financiamento sombrio da cripto

As ramificações desses roubos cibernéticos estendem-se além da perda financeira. De acordo com relatórios internacionais, incluindo os das Nações Unidas, as criptomoedas roubadas têm sido fundamentais para financiar os desenvolvimentos de mísseis da Coreia do Norte. Estimativas sugerem que quase 50% do financiamento para esses programas provém dessas operações cibernéticas ilícitas, um aumento acentuado em relação às estimativas anteriores de um terço.

Lavando o botim

Após o roubo, os processos de lavagem são meticulosos e prolongados. Técnicas como peel chains e mixers como o Tornado Cash ajudam a ofuscar a fonte dos fundos. Exchanges supostamente operadas pela Coreia do Norte transformam então os ativos, vendendo-os com desconto para convertê-los em moedas menos rastreáveis, muitas vezes movendo-se através de redes clandestinas na China e na Rússia.

Um problema global

Embora o foco tenha estado na Coreia devido a incidentes repetidos, este é apenas um subconjunto de um problema global. Ciberataques patrocinados pelo Estado a plataformas cripto não se limitam à Coreia do Norte. Entidades ligadas à Rússia foram acusadas de atos semelhantes, e grupos iranianos visaram empresas cripto israelenses. Casos como a violação da Bybit em 2025 destacam o alcance expansivo dessas ameaças.

Vulnerabilidades sistêmicas

Nós centralizados, como exchanges e pontes cross-chain, destacam as vulnerabilidades sistêmicas dentro do ecossistema cripto. Embora as blockchain em si possam ser seguras, os ativos devem invariavelmente transitar por gateways centralizados, que são propensos a ciberataques sofisticados.

Conclusão

A narrativa das exchanges sul-coreanas como a Upbit reflete a dança intrincada entre mercados cripto em expansão e adversários determinados apoiados pelo Estado. A história é de gato e rato, onde as exchanges se esforçam para reforçar as defesas contra hackers que só precisam ter sucesso uma vez. A batalha é simbólica dos desafios mais amplos que o reino dos ativos digitais enfrenta, onde a inovação deve constantemente acompanhar o ritmo de ameaças sofisticadas.

Melhorando as estratégias de defesa

Para exchanges de criptomoedas em todo o mundo, essa luta contínua exige a adoção de medidas de segurança avançadas. Isso inclui aproveitar estruturas de wallet multifirma, melhorar o treinamento dos funcionários para mitigar riscos de phishing e promover colaborações transfronteiriças para um compartilhamento mais robusto de inteligência sobre ameaças.

FAQ

O que é o "kimchi premium"?

O "kimchi premium" refere-se à diferença de preço das criptomoedas entre exchanges sul-coreanas e globais. Muitas vezes surge devido a uma maior demanda local e obstáculos ao acesso aos mercados internacionais, criando pools de liquidez que atraem hackers.

Quem é o Lazarus Group?

O Lazarus Group é uma organização de hackers patrocinada pelo Estado ligada ao Bureau Geral de Reconhecimento da Coreia do Norte. Eles são conhecidos por seus roubos cibernéticos, que visam tanto finanças tradicionais quanto criptomoedas para financiar projetos nacionais.

Como as exchanges de criptomoedas tentam prevenir hacks?

As exchanges empregam várias camadas de segurança, como cold wallets para a maioria dos fundos, 2fa-4606">autenticação de dois fatores para contas de usuário, auditorias de segurança regulares e protocolos de criptografia avançados para proteger contra acesso não autorizado.

Como a Coreia do Norte usa fundos cripto roubados?

As criptomoedas roubadas são canalizadas para os projetos de alta prioridade da Coreia do Norte, incluindo programas de mísseis e nucleares, pois oferecem uma fonte de financiamento semi-anônima que contorna sanções internacionais e supervisão bancária.

O que os investidores individuais de cripto podem fazer para se proteger?

Os indivíduos devem usar wallets seguras, habilitar a autenticação de dois fatores, evitar armazenar grandes quantidades em exchanges, gerenciar cuidadosamente suas senhas e manter-se informados sobre possíveis ameaças de phishing para proteger seus ativos cripto.

Ao compreender e navegar nessas dinâmicas complexas, as partes interessadas podem contribuir para um ecossistema cripto mais seguro, apesar das ameaças persistentes e em evolução.