As roubos de criptomoedas em 2025 atingirão um ponto de inflexão: os ataques da Coreia do Norte atingiram um recorde de 2,02 mil milhões de dólares, e o ciclo de lavagem de dinheiro dura cerca de 45 dias

Destaques principais:

O setor de criptomoedas enfrenta 2025 com desafios graves. Segundo dados da Chainalysis, o total de fundos roubados neste ano ultrapassou os 3,4 bilhões de dólares, sendo que um único incidente de grande escala representou 1,5 bilhões de dólares. Ainda mais chocante é o fato de que as táticas de ataque estão se tornando cada vez mais sofisticadas, dificultando a defesa.

A fenômeno mais preocupante é que, apesar da redução no número de ataques confirmados, o valor roubado por incidente está aumentando drasticamente. A proporção entre o maior ataque e a perda média por incidente ultrapassou pela primeira vez 1000 vezes, superando até mesmo a bolha de 2021.

Roubo por Coreia do Norte atinge recorde: 2,02 bilhões de dólares

O valor roubado por grupos de hackers relacionados à Coreia do Norte em 2025 atingiu pelo menos 2,02 bilhões de dólares, um aumento de 51% em relação ao ano anterior. Este foi o ano mais grave na história de roubos de criptomoedas pela Coreia do Norte, representando 76% de todos os ataques confirmados.

No total, a soma das criptomoedas roubadas pela Coreia do Norte chega a pelo menos 6,75 bilhões de dólares, uma escala que não tem precedentes entre outros grupos de hackers.

As táticas evoluídas dos hackers norte-coreanos vêm se tornando evidentes. Enquanto antes eles apenas se infiltravam como funcionários de TI, atualmente:

• Disfarçam-se de recrutadores de empresas renomadas de Web3 e IA, obtendo credenciais de login e código fonte através de processos de recrutamento falsos
• Ficam em contato com investidores e adquirentes fraudulentos visando aquisições, obtendo informações do sistema e acesso a infraestruturas de alto valor
• Realizam ataques complexos na gestão de chaves privadas e processos de assinatura, evitando a proteção de carteiras frias

Essas táticas concentram-se em empresas estratégicas de IA e blockchain, muitas vezes com apoio de recursos estatais para captação de fundos e evasão de sanções internacionais.

Os 3 maiores incidentes representam 69% das perdas totais

Os dados de 2025 indicam uma “extremização” no setor de criptomoedas. Os fundos roubados em ataques de maior escala atingiram níveis 1000 vezes superiores aos incidentes comuns, com os 3 maiores eventos concentrando 69% do total de perdas.

Essa concentração indica que as vulnerabilidades de segurança estão focadas em plataformas específicas. Os atacantes visam serviços de grande porte, adotando estratégias que buscam impacto máximo, de modo que um único sucesso pode influenciar toda a avaliação de segurança do setor ao longo do ano.

No âmbito de carteiras pessoais, o número de incidentes disparou para 158 mil (triplicando em relação às 54 mil de 2022), atingindo 80 mil vítimas. Contudo, o valor médio de prejuízo por vítima vem diminuindo, enquanto os atacantes aumentam o número de usuários-alvo, mas com perdas menores por incidente.

Particularmente na rede Solana, há cerca de 26,5 mil vítimas reportadas, evidenciando a gravidade dos problemas de segurança em carteiras pessoais.

Modelo de lavagem de dinheiro exclusivo da Coreia do Norte: processo estruturado de 45 dias

Após grandes roubos, hackers norte-coreanos empregam uma metodologia altamente estruturada de lavagem de dinheiro, que ocorre em ciclos de aproximadamente 45 dias, divididos em várias fases.

Primeira fase (0–5 dias): dispersão imediata

• Entrada em protocolos DeFi aumenta +370%
• Uso de serviços de mixing cresce entre +135% e +150%
• Prioridade inicial: “separar imediatamente do ponto de roubo”

Segunda fase (6–10 dias): dispersão ampla

• Migração para plataformas com menos restrições KYC (+37%)
• Entrada gradual em exchanges centralizadas (+32%)
• Dispersão por cross-chain bridges (+141%)

Terceira fase (20–45 dias): liquidação final

• Uso de plataformas sem KYC (+82%) e de serviços de garantia (+87%) aumenta significativamente
• Utilização ativa de redes de lavagem de dinheiro em chinês (+33% a +1000%)
• Conversão final em moeda fiduciária ou outros ativos

O diferencial dos hackers norte-coreanos é a dependência extrema de redes de lavagem em chinês e de garantidores, além de dividir transações em mais de 50 mil dólares, uma estratégia de fragmentação que dificulta o rastreamento.

Por outro lado, eles praticamente não utilizam:

• Protocolos de empréstimo (-80%)
• Plataformas sem KYC (-75%) — apesar de contradições
• P2P (-64%)
• DEX (-42%)

Isso sugere que a operação depende de intermediários confiáveis locais, preferindo parceiros de maior confiança do que serviços de maior liberdade.

Evolução na segurança DeFi: aumento de TVL, perdas por hacking permanecem baixas

Um fenômeno interessante observado entre 2024 e 2025 é que, apesar do crescimento expressivo do TVL (valor total bloqueado) de DeFi desde os mínimos de 2023, as perdas por ataques continuam em níveis baixos históricos.

• 2020–2021: TVL e perdas por hacking crescem simultaneamente
• 2022–2023: ambos diminuem juntos
• 2024–2025: TVL se recupera, mas perdas permanecem estáveis e baixas

Essa mudança tem dois significados importantes:

Efeito de melhorias na segurança No início da era DeFi (2020–2021), os protocolos eram extremamente vulneráveis. O fato de o TVL aumentar sem aumento proporcional nas perdas indica que as equipes de desenvolvimento reforçaram significativamente a segurança.

Mudança no foco dos atacantes O aumento de roubos em carteiras pessoais e ataques a exchanges centralizadas, ao mesmo tempo em que as perdas em DeFi permanecem baixas, mostra que os hackers estão mudando o foco de ataques de DeFi para outros alvos.

Um exemplo é o incidente de setembro de 2025, que demonstra a eficácia de melhorias na infraestrutura de segurança. Quando uma vulnerabilidade foi explorada, a plataforma de monitoramento detectou atividades suspeitas 18 horas antes. Em 20 minutos, o protocolo foi pausado, evitando a saída de fundos. Em até 12 horas, todos os fundos roubados foram recuperados. Destaca-se que, por meio de governança, ativos no valor de 3 milhões de dólares controlados pelos atacantes foram congelados, revertendo a situação a favor da segurança.

A rapidez e eficácia dessa resposta representam uma mudança radical em relação ao início da era DeFi, quando ataques muitas vezes resultavam em perdas permanentes.

Desafios para 2026 e lições para o setor

Os dados de 2025 revelam uma contradição: a Coreia do Norte reduziu em 74% o número de ataques confirmados, mas aumentou em 51% o valor roubado. Isso sugere que as atividades visíveis representam apenas uma fração do que realmente ocorre.

Para 2026, os principais desafios do setor incluem:

Aprimorar a identificação de características específicas dos hackers norte-coreanos Detecção de padrões em tipos de serviços, valores transferidos, uso de redes chinesas, entre outros, possibilitará intervenções mais precoces.

Fortalecer a defesa de alvos de alto valor Embora o número de ataques tenha diminuído, sua capacidade destrutiva aumentou. É imprescindível atenção a táticas avançadas como fraudes de recrutamento e engenharia social, especialmente para empresas estratégicas de IA e blockchain, que requerem defesas mais robustas.

Aprimorar monitoramento e resposta Como demonstrado pelo incidente da Venus, monitoramento ativo, resposta rápida e mecanismos de governança decisivos podem minimizar danos. A padronização dessas práticas na indústria é essencial.

Os roubos realizados pela Coreia do Norte não são apenas crimes cibernéticos, mas atividades estratégicas de nível estatal. Acompanhar a evolução de suas táticas e métodos de operação é fundamental para elevar o nível de segurança de toda a indústria.