Este ano já marcou um recorde de roubos de criptomoedas ligados à Coreia do Norte. Com apenas alguns meses restantes no calendário, hackers que se acredita estarem ligados a Pyongyang já roubaram mais de US$ 2 bilhões em ativos digitais. Esses números vêm de análises recentes de fluxos de blockchain, declarações de aplicação da lei e empresas de rastreamento de blockchain.
Uma mudança marcante em sua abordagem é que eles não estão mais se concentrando apenas em grandes exchanges. Cada vez mais, indivíduos, especialmente detentores de criptomoedas que usam carteiras, plataformas DeFi ou exchanges menos conhecidas, estão se tornando alvos. A estratégia parece ser multiplicar os ataques, em vez de depender de um ou dois grandes sucessos. Os ganhos alimentam preocupações mais amplas sobre o crime cibernético patrocinado pelo Estado sendo usado para financiar programas de mísseis, nucleares e outras armas.
Historicamente, muitos dos hacks mais divulgados envolveram violações de grandes exchanges ou pontes onde os hackers fugiram com centenas de milhões. Mas investigações recentes mostram uma abordagem mais sutil. Em vez de hacks ultrarrápidos, algumas dessas operações agora dependem de engenharia social, ofertas falsas de recrutamento e comprometimentos baseados em nuvem.
Em um exemplo, hackers se passaram por recrutadores de empregos ou contatos de aplicativos de mensagens, atraindo desenvolvedores de criptomoedas e proprietários de carteiras para dar acesso. Em outro, um ambiente de nuvem foi explorado, dando aos invasores acesso à infraestrutura de carteira de criptomoedas de uma empresa e permitindo que os fundos fossem desviados sem disparar alarmes óbvios. Essas técnicas tornam a detecção mais difícil e as vítimas menos óbvias.
O que se destaca é que o motivo financeiro é claro. A criptomoeda é atraente para regimes sancionados porque é global, difícil de rastrear e pode ser convertida em moeda fiduciária ou usada para financiar bens e serviços do mercado negro. Para a Coreia do Norte, roubos cibernéticos desse tipo são relatados como uma das poucas maneiras confiáveis restantes de gerar moeda forte sob pesadas sanções.
Como é o impacto para as vítimas e os mercados
Para os detentores individuais de criptomoedas, o perigo tornou-se mais imediato. Se os invasores mudarem de violações no nível da exchange para comprometimentos de carteira pessoal e serviço em nuvem, qualquer usuário com participações substanciais estará em risco, não apenas grandes instituições. Uma chave privada roubada, uma credencial de nuvem comprometida ou um login de desenvolvedor de engenharia social podem levar a semanas ou meses de drenagem de fundos em pequenos incrementos.
Do lado do mercado, grandes furtos atuam como ondas de choque. Quando bilhões são roubados e os mercados se ajustam, o sentimento do investidor é afetado. As exchanges apertam os controles, os reguladores fazem perguntas mais difíceis e algumas plataformas congelam saques ou aumentam as taxas. Em muitos casos, as consequências chegam muito depois do roubo inicial. Há também um custo de reputação: quando hackers vinculados a um ator estatal realizam o roubo, isso levanta questões mais amplas sobre a resiliência do ecossistema de criptomoedas.
E para governos e multilaterais, os roubos abrem novos desafios de fiscalização. Uma coisa é anunciar publicamente o roubo, e outra é rastrear os ativos, congelá-los, recuperar valor e penalizar os atores por trás deles. Quando os agressores são apoiados por um regime com pouca consideração pelas normas internacionais, o desafio se torna ainda mais complexo.
Por que isso importa além dos números
É fácil ficar impressionado com o tamanho do transporte, já que US$ 2 bilhões é uma quantia significativa de dinheiro. Mas a verdadeira história está em como as táticas evoluíram e o que isso significa para todos que usam ou mantêm criptomoedas agora.
O fato de os invasores estarem visando indivíduos, explorando sistemas em nuvem e usando engenharia social significa que o envelope de risco se expandiu. Não são mais apenas grandes exchanges. Alguém com uma carteira de alto valor, exposição DeFi ou uma configuração de várias contas pode estar na linha de frente.
Também mostra que defender a criptomoeda não é apenas uma questão de “segurança de exchange”, mas um jogo muito mais amplo: credenciais de nuvem, identidades de desenvolvedor, práticas de gerenciamento de carteira, autenticação multifator, segurança de endpoint e higiene cibernética geral são importantes. As linhas entre o crime cibernético tradicional, o hacking do estado-nação, a exploração remota do trabalho e o crime criptográfico estão se tornando cada vez mais tênues.
É importante ressaltar que nos lembra que, quando fundos ilícitos entram no sistema em escala, eles raramente desaparecem no éter. Eles alimentam dinâmicas geopolíticas mais amplas, cadeias de suprimentos ilegais e, às vezes, até programas de armas. Para usuários comuns, isso significa que uma carteira roubada não atinge apenas seu saldo e pode alimentar um problema maior que você nunca se inscreveu para apoiar.
O que você pode fazer se estiver em cripto
Se você possui criptomoeda ou usa serviços de carteira ou plataformas DeFi, existem algumas etapas claras que você deve seguir imediatamente. Primeiro, assuma que você será o alvo. Essa mudança de mentalidade ajuda a impulsionar um comportamento melhor. Use senhas fortes e exclusivas para contas, habilite a autenticação multifator em todos os lugares e armazene chaves ou frases iniciais offline sempre que possível.
Seja particularmente cauteloso quando serviços em nuvem ou integrações de carteira estiverem envolvidos. Se você usa uma carteira em nuvem, uma ferramenta de desenvolvedor ou uma carteira conectada à exchange, trate essas credenciais como de alto valor. Mantenha o software atualizado, minimize as permissões e use logs de auditoria quando disponíveis.
Evite se envolver com “ofertas de emprego” não solicitadas que mencionem o desenvolvimento de criptomoedas ou carteiras, a menos que você verifique a identidade da oferta e trate-a como qualquer outro processo de recrutamento de alto risco. A engenharia social é mais comum do que você pensa.
Por fim, monitore os endereços da sua carteira e o histórico de transações. Use ferramentas ou serviços de análise de cadeia que notificam você se os tokens forem movidos. Adote uma mentalidade de “quero ver todas as transações” porque, uma vez que os invasores começam a movimentar fundos, eles geralmente os dividem em dezenas de endereços, cadeias e jurisdições. Quanto mais cedo você detectar algo incomum, maiores serão suas chances de impedir mais perdas.