Ataques cibernéticos à Upbit: A ameaça persistente da Coreia do Norte às exchange de criptomoedas

Principais pontos

• As exchange de criptomoedas da Coreia do Sul, particularmente a Upbit, têm sido alvos frequentes de grupos de hackers apoiados pelo Estado, nomeadamente o Lazarus Group da Coreia do Norte.
• As repetidas violações de segurança ao longo dos anos refletem um conflito geopolítico mais amplo, onde o cibercrime é usado como ferramenta para financiar agendas estatais, como programas nucleares.
• Apesar dos avanços regulatórios e certificações de segurança, as exchange sul-coreanas continuam a enfrentar ameaças significativas devido à sua natureza centralizada e elevada liquidez, exacerbada pelo chamado "kimchi premium".
• O desafio para as exchange sul-coreanas não é apenas tecnológico, mas também geopolítico, enfrentando adversários apoiados pelo Estado com vastos recursos.
• A dimensão internacional das ameaças cibernéticas destaca que o problema vai além da Coreia do Sul, afetando as políticas de segurança e a coordenação global de criptomoedas.

WEEX Crypto News, 2025-11-27 09:15:57

Introdução à batalha complexa

O mundo da criptomoeda tem sido frequentemente comparado ao Velho Oeste, e em nenhum lugar isso é mais evidente do que na Coreia do Sul. Como um dos mercados de criptomoeda mais vibrantes e voláteis, a Coreia do Sul não é apenas conhecida pelas suas movimentadas plataformas de negociação, mas também por ser um alvo principal para alguns dos ataques cibernéticos mais sofisticados e persistentes. Estes ataques cibernéticos não são meras ocorrências aleatórias, mas parte de uma luta geopolítica calculada e contínua, emanando particularmente da Coreia do Norte.

O dia 27 de novembro de 2025 marcou mais um golpe na maior exchange de criptomoedas da Coreia do Sul, a Upbit. Durante as primeiras horas, enquanto a nação dormia, ocorreu uma violação significativa na crypto wallet de Solana da Upbit. Os atacantes conseguiram desviar ativos no valor de aproximadamente 540 mil milhões de won coreanos, equivalentes a cerca de 36,8 milhões de dólares. Este evento é um lembrete claro das vulnerabilidades que existem mesmo nas fortalezas digitais mais protegidas e como elas são exploradas por atores estatais para alavancagem geopolítica e ganhos financeiros.

Uma crónica de vulnerabilidade: Oito anos de ataques cibernéticos

Sinais iniciais: As violações de 2017

A narrativa da situação da Upbit pode ser traçada até 2017, um ano crucial que viu o advento do mercado em alta de criptomoedas. Durante este período, as exchange da Coreia do Sul tornaram-se alvos principais para cibercriminosos. A Bithumb, uma das maiores exchange, foi a primeira a ser vítima. Os hackers exploraram a vulnerabilidade dos computadores dos funcionários, exfiltrando informações pessoais de 31.000 utilizadores, que usaram posteriormente para ataques de phishing, resultando na perda de aproximadamente 32 milhões de dólares. Este episódio destacou não apenas falhas técnicas, mas também deficiências gritantes nos protocolos de segurança organizacional.

A Youbit, outra exchange, sofreu perdas ainda mais devastadoras e acabou por sucumbir à falência após ataques consecutivos. Primeiro em abril e depois novamente em dezembro, os ataques cibernéticos resultaram na perda de uma parte significativa dos seus ativos, levando à sua queda. Estes casos serviram como alertas de que estas violações eram mais do que meros incidentes isolados — eram ataques orquestrados e direcionados, frequentemente ligados a agentes norte-coreanos, conforme reconhecido pela Korea Internet Security Agency (KISA).

Os roubos de hot wallet de 2018

Avançando para 2018, a saga continuou com maior intensidade. Junho testemunhou o ataque à Coinrail, uma exchange significativa, mas menor em termos de quota de mercado. Os atacantes levaram mais de 40 milhões de dólares, concentrando os seus esforços não em criptomoedas tradicionais como Bitcoin ou Ethereum, mas em tokens de ICO, que na altura eram mercadorias populares. Este incidente desencadeou uma queda temporária de preço no mercado de Bitcoin e enviou ondas de choque por todo o ecossistema global de moeda digital.

Poucos dias depois, a Bithumb anunciou outra violação de segurança onde as hot wallets foram esvaziadas de aproximadamente 31 milhões de dólares em criptomoedas, incluindo XRP. Ironicamente, isto ocorreu pouco depois de a Bithumb ter declarado publicamente que estava a melhorar a segurança transferindo ativos para cold wallets.

O grande roubo da Upbit em 2019

Talvez o mais notório destes incidentes tenha ocorrido em 2019, quando a Upbit, a maior exchange da Coreia do Sul, foi alvo com precisão. Utilizando a janela durante a consolidação de carteiras, os hackers retiraram uns impressionantes 342.000 Ethereum, marcando-o como o maior roubo único na história cripto da nação. O rescaldo viu o Ethereum disperso por inúmeras transações, aproveitando métodos de "peel chain" para ofuscar caminhos de moeda e evitar a deteção. Apesar de uma investigação colaborativa pela polícia sul-coreana e pelo FBI, apenas uma quantia escassa pôde ser recuperada de uma exchange suíça.

Esta violação solidificou ainda mais a suspeita de envolvimento norte-coreano, especificamente o notório Lazarus Group, que já tinha conquistado um lugar como um dos adversários cibernéticos mais formidáveis globalmente. Usando gíria norte-coreana única no seu código, o grupo deixou sinais reveladores do seu envolvimento.

2023-2025: Novas ondas e padrões antigos

Abril de 2023 viu a GDAC, outra exchange, cair presa de incursões cibernéticas, perdendo cerca de 13 milhões de dólares. Isto não representou apenas um golpe financeiro significativo, mas também estratégico, uma vez que o ataque afetou uma parte substancial dos seus ativos de custódia.

Numa repetição assustadora da história, exatamente seis anos após o roubo de 2019, a Upbit foi atingida novamente em 27 de novembro de 2025. O foco do atacante mudou para o ecossistema Solana, demonstrando uma evolução nas táticas e um desafio contínuo às medidas regulatórias introduzidas após a Lei de Informação Financeira Especial de 2020. Apesar da certificação ISMS da Upbit e da alegação de segurança reforçada, a exchange não conseguiu escapar ao alcance de adversários cibernéticos sofisticados. O incidente sublinha mais uma vez a ameaça perene que as exchange enfrentam e as limitações das medidas regulatórias na proteção contra ameaças dinâmicas.

A guerra cibernética da Coreia do Norte: Financiando ambições globais

A força motriz por trás destes ataques cibernéticos implacáveis está enraizada nas estratégias geopolíticas e financeiras mais amplas da Coreia do Norte. O Lazarus Group, o principal suspeito nestes e em muitos outros roubos cibernéticos globais, é uma unidade cibernética de elite sob o departamento de inteligência da Coreia do Norte. A sua transição de crimes financeiros tradicionais para roubos de criptomoedas sublinha a agilidade das táticas de guerra cibernética. A grande lacuna nos quadros regulatórios e a quase anonimato das transações de criptomoeda tornam as exchange de moeda digital um alvo ideal.

A atratividade das exchange sul-coreanas é ainda mais aumentada pelo 'kimchi premium', um fenómeno de preços inflacionados de criptomoedas na Coreia do Sul em comparação com os mercados globais, devido à elevada procura interna. Isto cria oportunidades de arbitragem atraentes para os hackers liquidarem ativos roubados com um prémio.

Além disso, os lucros destes ataques cibernéticos são canalizados para financiar os programas de mísseis e nucleares da Coreia do Norte, conforme destacado por vários relatórios internacionais, tornando o cibercrime um componente crítico da sobrevivência económica e estratégia militar do país.

O problema global: Além da Coreia do Sul

Embora a Coreia do Sul se encontre frequentemente na vanguarda destes ataques, as operações cibernéticas norte-coreanas não se limitam a uma única fronteira geográfica. As exchange globais e empresas associadas a cripto em todo o mundo, como o incidente da Bybit de 2025 envolvendo uma perda de 15 mil milhões de dólares, também se encontram como alvos de estratégias semelhantes.

A vulnerabilidade estrutural do setor de criptomoedas reside na sua dependência de gateways centralizados, onde vastas somas fluem através de nós como exchange e pontes. Estes pontos são geridos por empresas privadas com orçamentos de segurança e operacionais contrastantemente limitados em comparação com os recursos de atacantes apoiados pelo Estado. Políticas de segurança internacionais colaborativas e inovações na gestão de ativos digitais são desesperadamente necessárias para fortalecer estes nós e proteger o sistema financeiro global mais amplo.

Conclusão

Os ataques recorrentes às exchange sul-coreanas servem como um microcosmo de um conflito existencial maior enfrentado pelo mercado global de criptomoedas. A sofisticação e audácia dos ataques sinalizam uma mudança de paradigma onde os mercados financeiros são os campos de batalha, e os guerreiros cibernéticos apoiados pelo Estado lideram a carga. Este cenário contínuo obriga as partes interessadas, desde reguladores a operadores de mercado, a repensar e remodelar medidas de segurança que possam resistir não apenas às técnicas sofisticadas, mas também à persistência implacável de adversários bem financiados e apoiados pelo Estado.

Estar um passo à frente na corrida armamentista da cibersegurança exigirá inovação contínua, cooperação internacional e, talvez, uma reavaliação de como a economia digital opera nos seus níveis mais fundamentais. À medida que as partes interessadas ponderam sobre estes desafios, uma realidade permanece inequívoca: na corrida contra as ameaças cibernéticas, ficar para trás não é uma opção.

Perguntas frequentes

O que torna as exchange de criptomoedas sul-coreanas um alvo frequente de hacking?

As exchange sul-coreanas são frequentemente visadas devido à sua elevada liquidez e prémios de preço significativos em ativos cripto, conhecidos como "kimchi premium", tornando-as alvos lucrativos para ataques motivados financeiramente. Além disso, hackers apoiados pelo Estado, nomeadamente da Coreia do Norte, veem-nas como ativos estratégicos para financiar agendas políticas e militares.

Quem é o Lazarus Group e por que são significativos no contexto de hacks cripto?

O Lazarus Group é uma equipa de hacking patrocinada pelo Estado norte-coreano ligada a numerosos ataques cibernéticos de alto perfil, incluindo aqueles em exchange de criptomoedas. São conhecidos pelas suas técnicas sofisticadas e pelo seu papel no financiamento dos projetos do governo da Coreia do Norte, incluindo os seus programas militares.

Que medidas as exchange sul-coreanas tomaram após ataques cibernéticos repetidos?

Em resposta aos ataques, as exchange sul-coreanas tomaram várias medidas, incluindo o reforço de protocolos de segurança, a obtenção de certificações ISMS e a transferência de ativos para armazenamento a frio (cold storage). No entanto, estes métodos não mitigaram totalmente o risco de atacantes sofisticados e persistentes.

Como é que estes ataques cibernéticos impactam o mercado global de criptomoedas?

Estes ataques cibernéticos podem influenciar o mercado global causando volatilidade a curto prazo, diminuindo a confiança dos investidores e provocando escrutínio regulatório, o que pode levar a regulamentações mais rígidas globalmente. Também destacam vulnerabilidades na estrutura de DeFi que requerem cooperação internacional para serem abordadas.

Como pode a comunidade internacional proteger-se melhor contra ameaças cibernéticas patrocinadas pelo Estado no espaço cripto?

A comunidade internacional pode reforçar a proteção aumentando a cooperação e a partilha de informações entre países, harmonizando quadros regulatórios e investindo em tecnologias e infraestruturas de segurança avançadas. Isto requer um esforço concertado para evoluir políticas e práticas que possam antecipar e responder rapidamente a ameaças emergentes.