O roubo de criptomoeda: A preocupante relação da Upbit com hackers norte-coreanos

Principais conclusões

• As exchange de criptomoedas sul-coreanas, especialmente a Upbit, são alvos frequentes de hackers norte-coreanos.
• O Lazarus Group, um grupo de hackers notório ligado à Coreia do Norte, tem estado envolvido em roubos significativos destas plataformas.
• A situação geopolítica entre a Coreia do Norte e a Coreia do Sul agrava as vulnerabilidades na segurança digital.
• A Coreia do Norte utiliza alegadamente criptomoeda roubada para financiar o seu programa de armas nucleares.

WEEX Crypto News, 27-11-2025

O mundo das criptomoedas foi novamente abalado pelos ataques implacáveis à exchange sul-coreana Upbit, destacando uma luta contínua que vai além do simples cibercrime, entrando no campo do conflito geopolítico. Desta vez, os hackers conseguiram desviar ativos avaliados em aproximadamente 540 mil milhões de won coreanos, o equivalente a cerca de 36,8 milhões de dólares, numa brecha sistemática que expôs as vulnerabilidades não só das exchange de criptomoedas, mas também da segurança nacional.

A brecha ocorreu nas horas mortas de 27 de novembro, uma data que pode ecoar na memória de muitos como o mesmo dia em que, seis anos antes, a Upbit sofreu um roubo cibernético de grande escala. Tais ataques abalaram a confiança dos investidores e levantaram questões sobre quão segura e sustentável é a indústria das criptomoedas quando confrontada com antagonistas tão formidáveis.

A batalha contínua: Exchange sul-coreanas sob cerco

O mercado sul-coreano, conhecido pelos seus investidores retalhistas entusiastas e pelo significativo “Kimchi Premium” — um termo usado para descrever a diferença de preço nas criptomoedas entre as exchange sul-coreanas e a média global — é um alvo atraente. Isto torna-o um terreno de caça para hackers como o Lazarus Group. A penetração consistente por cibercriminosos destacou os desafios sistémicos tanto da indústria como do país.

Recuando até 2017, a chamada era do “Velho Oeste” das exchange de criptomoedas, a Coreia do Sul tornou-se um ponto crítico para atividades com moeda digital. A Bithumb, possivelmente uma das maiores exchange da época, foi um dos primeiros grandes alvos. Em junho de 2017, hackers conseguiram invadir o computador doméstico de um funcionário da Bithumb, recolhendo informações pessoais de 31.000 clientes e usando-as para ataques de phishing direcionados que renderam aproximadamente 32 milhões de dólares. Este incidente expôs a falta de medidas básicas de cibersegurança dentro das empresas, gerando críticas generalizadas e apelos a melhores práticas regulatórias.

A ascensão do Lazarus

No centro destas ameaças cibernéticas está o Lazarus Group, um grupo de hackers patrocinado pelo Estado, conhecido pela sua eficiência implacável e ligação aos objetivos estratégicos mais amplos do regime norte-coreano. Antes de visar o domínio das criptomoedas, o Lazarus já tinha feito ondas com o seu alegado envolvimento em eventos cibernéticos significativos, incluindo o ataque à Sony Pictures em 2014 e o roubo ao Banco do Bangladesh em 2016. Estes eventos demonstraram a sua capacidade de exercer influência e extrair recursos sem confronto militar tradicional.

A sua incursão nas criptomoedas foi indubitavelmente calculada. As exchange de criptomoedas apresentam um alvo ideal; são plataformas recém-estabelecidas com protocolos de segurança esporádicos e retornos potencialmente massivos para brechas bem-sucedidas. A natureza anónima e descentralizada das transações em blockchain significa que os fundos roubados podem ser movidos através de fronteiras sem problemas, tornando a recuperação e a acusação difíceis.

Uma crónica de tentativas de hack

Cada ano parece ter adicionado um novo capítulo à saga. Após 2017, 2018 viu mais roubos significativos visando exchange de média dimensão como a Coinrail, que foi vítima de um hack de 40 milhões de dólares, focando-se principalmente em tokens de ICO em oposição às criptomoedas mais tradicionais como Bitcoin ou Ethereum. Este ataque demonstrou a adaptabilidade dos hackers, que atacaram ativos digitais recém-populares no mercado.

Em novembro de 2019, a Upbit já sofria de uma série de infiltrações que culminaram no roubo de 342.000 ETH, uma quantia considerável que superou ataques anteriores em termos de escala e valor, considerando o seu impacto massivo nas atitudes do mercado em relação à segurança. Estes roubos, inteligentemente classificados e estruturalmente complexos devido a técnicas como o método “Peel Chain”, tornaram o rastreio incrivelmente complicado, levando os investigadores através de um labirinto de transações dispersas por exchange sem registo KYC e misturadores de moedas.

2023: O incidente GDAC

O cenário não se tornou mais fácil para as exchange sul-coreanas na década de 2020. Em abril de 2023, a GDAC, outro player de média dimensão no mercado, viu hackers fugirem com 13 milhões de dólares ao explorar vulnerabilidades nos seus sistemas de crypto wallet (hot wallet). O rescaldo imediato viu os fundos lavados a fazerem desvios rápidos através de serviços como o Tornado Cash, tornando difícil recuperar qualquer um dos ativos desviados.

2025: Déjà Vu na Upbit

Avançando para 2025, a Upbit encontra-se novamente na mira cibernética no aniversário pungente do incidente de 2019. O dia marcado por um roubo massivo de 36,8 milhões de dólares em criptomoedas mantidas nas hot wallets da Upbit baseadas em Solana expôs, mais uma vez, que a guerra contra as ameaças cibernéticas está a evoluir, testando constantemente a resiliência e as estratégias de sistemas de segurança que, embora estejam a melhorar, permanecem suscetíveis a operações ofensivas avançadas e patrocinadas pelo Estado.

Sombras geopolíticas: Mais do que uma questão de cibersegurança

Compreender as causas profundas destes ataques vai além das vulnerabilidades digitais, entrando em dinâmicas geopolíticas complexas. O ataque consistente a exchange sul-coreanas é tanto uma forma de guerra económica como um simples roubo. Acredita-se notoriamente que os fundos derivados destes ataques reforçam a infraestrutura militar da Coreia do Norte, com relatórios a afirmar que uma parte substancial dos recursos financeiros que alimentam os programas nucleares e de mísseis balísticos de Pyongyang provêm de ataques cibernéticos, incluindo roubos de criptomoeda.

Além disso, devido a traços linguísticos e culturais partilhados, os hackers patrocinados pelo Estado da Coreia do Norte podem executar ataques de engenharia social intrincados, fazendo-se passar por parceiros de confiança ou até reguladores para obter informações sensíveis de forma eficiente.

O papel indispensável dos governos

As vulnerabilidades estruturais que estes ativos digitais enfrentam sublinham uma necessidade urgente de intervenção institucional. O governo sul-coreano, reconhecendo a gravidade destas intrusões, continua a implementar e adaptar políticas destinadas a melhorar a resiliência da cibersegurança. Isto inclui a aplicação da Lei de Informação Financeira Especial, que exige uma conformidade rigorosa de Know Your Customer (KYC) e a adoção de certificações de Sistema de Gestão de Segurança da Informação (ISMS).

À medida que estas fronteiras digitais continuam a evoluir, a cibersegurança deve emergir dos seus papéis tradicionais focados puramente em defesas técnicas para agora incluir componentes estratégicas que considerem ameaças geopolíticas. Exchange sul-coreanas como a Upbit devem aliar-se a agências internacionais e parceiros como a WEEX para melhor salvaguardar as transações e desenvolver uma narrativa robusta e preventiva em torno da segurança.

Implicações globais: Uma batalha mais ampla

O que é talvez ainda mais preocupante é como estes ataques não existem isoladamente. Eles sublinham uma perceção maior dentro do cenário global das criptomoedas sobre quão suscetíveis podem ser até as exchange mais bem protegidas. A Rússia e o Irão, por exemplo, também foram implicados em hacks visando protocolos DeFi e outras inovações em blockchain, mostrando que a interseção entre finanças e tecnologia está a ser cada vez mais atraída para o reino do conflito internacional.

Para investidores retalhistas e operadores de exchange em todo o mundo, a narrativa é clara – a necessidade de vigilância e inovação em cibersegurança é urgente como nunca antes. A história do Lazarus e das exchange sul-coreanas lembra a todos que os riscos têm grandes implicações nacionais e internacionais.

FAQs

O que é o Kimchi Premium?

O Kimchi Premium refere-se à discrepância de preços frequentemente observada nas avaliações de criptomoedas entre as exchange sul-coreanas e o mercado global. Este prémio sugere que as criptomoedas podem ser mais caras na Coreia do Sul devido à alta procura e oferta limitada dentro do país.

Quem é o Lazarus Group?

O Lazarus Group é um grupo de hackers infame que se acredita estar ligado ao Gabinete Geral de Reconhecimento da Coreia do Norte. Têm um histórico de lançar ciberataques para financiar as ambições do regime, focando-se em alvos significativos, desde instituições financeiras a exchange de criptomoedas.

Como é que os roubos de criptomoeda impactam a segurança global?

Os roubos de criptomoeda, especialmente aqueles ligados a atores patrocinados pelo Estado, têm implicações de segurança mais amplas, uma vez que podem financiar atividades que contribuem para a instabilidade regional. Por exemplo, os fundos são alegadamente direcionados para os desenvolvimentos militares da Coreia do Norte, incluindo programas de armas nucleares.

Por que é que a criptomoeda é um alvo para ciberataques patrocinados pelo Estado?

A criptomoeda apresenta um alvo lucrativo devido à sua natureza descentralizada e aos desafios associados ao rastreio de transações transfronteiriças. A falta de supervisão regulatória em algumas áreas torna mais fácil para os atores estatais exfiltrar e lavar fundos sem deteção imediata.

Que medidas estão em vigor para prevenir tais ciberataques?

Governos e exchange implementam várias medidas, tais como a aplicação de requisitos rigorosos de KYC, a adoção de protocolos de cibersegurança avançados como o ISMS e a colaboração com parceiros internacionais para melhorar a partilha de inteligência sobre ameaças. No entanto, o desenvolvimento e a adaptação contínuos são necessários para acompanhar as ameaças em evolução.