Hackers ligados à Coreia do Norte roubaram mais de US$ 2 bilhões em criptomoedas em 2025, superando todos os anos anteriores registrados, enquanto as forças de segurança globais recuperaram US$ 439 milhões e prenderam centenas de lavadores de dinheiro em 40 países em uma única operação de quatro meses. A colisão entre roubos recordes patrocinados pelo Estado e a aplicação multilateral coordenada levanta uma questão mais aguda do que se o crime de cripto está fora de controle: os atacantes estão atingindo um teto, ou eles estão aprendendo a contornar cada novo ponto de verificação que os governos implementam? A resposta molda as políticas do tesouro, os orçamentos de segurança de pontes e a viabilidade da infraestrutura que preserva a privacidade. Se a aplicação for dent nos fluxos ilícitos, a indústria poderá confiar em KYC aprimorado, sanções e análises de blockchain para gerenciar riscos. Suponha que os atacantes se adaptem saltando entre cadeias (chains), fragmentando saídas de caixa (cash-outs) e explorando jurisdições com fraca adoção da regra de viagem (“travel rule”). Nesses casos, a pilha defensiva precisa de mudanças arquiteturais, não apenas de um melhor teatro de conformidade.
O Cenário de Roubos Recordes
A violação de fevereiro de 2025 definiu a escala para o ano. O FBI atribuiu o roubo de US$ 1,5 bilhão ao Lazarus Group da Coreia do Norte, também conhecido como o cluster TraderTraitor, uma campanha de spear-phishing e malware de vários anos visando desenvolvedores de blockchain e equipes de operações. Os atacantes entregaram aplicações de negociação trojanizadas por meio de comprometimentos na cadeia de suprimentos, obtendo acesso à infraestrutura de assinatura de hot-wallet. A TRM Labs documentou a lavagem subsequente: swaps imediatos em ativos nativos, saltos de ponte (bridge hops) para Bitcoin e Tron, então misturas em camadas em protocolos obscuros.
A atualização de meio de ano da Chainalysis confirmou perdas de serviços de mais de US$ 2,17 bilhões até 30 de junho, com o roubo da Bybit respondendo pela maioria. O breve relatório da Elliptic em outubro elevou o total para mais de US$ 2 bilhões atribuídos apenas a atores ligados à DPRK, observando “a crescente complexidade de lavagem em resposta à melhor rastreabilidade”. A Agência Nacional de Polícia do Japão e o Centro de Crimes Cibernéticos do Departamento de Defesa dos EUA ligou conjuntamente a perda de US$ 308 milhões da DMM Bitcoin à mesma infraestrutura do TraderTraitor no final de 2024.
O Ministério das Relações Exteriores do Japão publicou um compêndio de 2025 consolidando métodos de roubo cibernético da DPRK, rotas de lavagem e incidentes específicos ao longo de 18 meses, estabelecendo padrões de atribuição que se baseiam em famílias de malware, sobreposições de infraestrutura e heurísticas on-chain confirmadas por várias agências de inteligência.
Mudanças na Superfície de Ataque
A superfície de ataque mudou de hot wallets de câmbio para pontes e operações de validadores, onde falhas em ponto único desbloqueiam fluxos massivos. O relatório Crime Cross-Chain de 2025 da Elliptic mediu com que frequência os ativos roubados agora atravessam mais de três, cinco ou até dez cadeias para frustrar a rastreabilidade. Andrew Fierman, chefe de inteligência de segurança nacional na Chainalysis, descreveu a evolução em uma nota:
“Lavadores da DPRK estão mudando perpetuamente os mecanismos de lavagem e táticas de evasão para evitar interrupções.”
Ele acrescentou que mixers permanecem no kit de ferramentas, já que o Tornado Cash viu fluxos renovados ligados à DPRK após o Tesouro retirar sua designação de sanções em março de 2025, seguindo reveses judiciais. No entanto, a mistura de locais continua mudando. Após o Blender e o Sinbad serem sancionados, os fluxos se moveram para exchanges descentralizadas cross-chain, corredores de USDT e corretores de balcão (over-the-counter) no Sudeste Asiático.
A Resposta da Aplicação da Lei
A aplicação aumentou em 2025. A Operação HAECHI VI da Interpol, que ocorreu de abril a agosto, recuperou US$ 439 milhões em 40 países, incluindo US$ 97 milhões em ativos virtuais. A ação coordenada seguiu a HAECHI V de 2024, que estabeleceu recordes de prisões e apreensões. A Europol continuou ações paralelas contra infraestrutura de lavagem e redes de fraude de cripto ao longo do ano.
A atualização de junho de 2025 do GAFI (Grupo de Ação Financeira Internacional) revelou que a implementação da regra de viagem havia aumentado para 85 jurisdições, com orientações para supervisores apertando o compartilhamento de informações transfronteiriças. Esses são ventos contrários materiais para redes de saída de caixa que dependiam de regimes de conformidade fragmentados.
Sanções e casos criminais agora visam facilitadores tanto quanto hackers. As ações de julho de 2025 do Office of Foreign Assets Control atingiram as cadeias de receita de trabalhadores de TI da DPRK, enquanto indiciamentos e confiscos do Department of Justice acusaram operativos norte-coreanos de roubo e lavagem de cripto. Promotores forçaram confissões de culpa de operadores de Samourai Wallet, e o coordenador do Wasabi foi desativado em 2024.
Tendências na Lavagem de Dinheiro
O resultado é menos centros de lavagem grandes e centralizados e mais ofuscação fragmentada e cross-chain. Fierman observou a resposta tática:
“O aumento da diligência Know Your Customer (KYC) por exchanges pode ajudar a interromper contas de mulas, a sanção de mixers acabou impulsionando atores para plataformas alternativas, que podem ter menos liquidez para facilitar lavagem em larga escala, e a capacidade das emissoras de stablecoin de congelar ativos em qualquer ponto da cadeia de suprimentos ajudam a interromper os esforços de lavagem da DPRK.”
Padrões de Atribuição e Novas Táticas
Os padrões de atribuição combinam forense on-chain com inteligência de sinais e análise de malware. O FBI confirmou publicamente a atribuição da Bybit em fevereiro de 2025, enquanto vários veículos e o ministério das relações exteriores do Japão consolidaram evidências ligando o TraderTraitor a roubos anteriores.
A seleção de alvos mudou para exchanges, pontes e caminhos de validadores, onde falhas de segurança operacional desbloqueiam o valor máximo. Dados da Chainalysis mostram que as perdas de 2025 foram concentradas em violações de nível de serviço em vez de comprometimentos de carteiras individuais, refletindo uma mudança dos atacantes para alvos de infraestrutura de alta alavancagem.
Padrões de lavagem agora rotam regularmente através de corredores de USDT e saídas de balcão (OTC off-ramps) fora de zonas regulatórias estritas. Uma investigação da Reuters de 2024 rastreou fluxos ligados ao Lazarus para uma rede de pagamentos no Sudeste Asiático. Chainalysis e Elliptic documentam um declínio constante nas saídas de caixa diretas de exchanges, de aproximadamente 40% das transferências ilícitas em 2021-22 para cerca de 15% em meados de 2025, e um aumento correspondente em rotas complexas e multi-hop que misturam swaps de exchanges descentralizadas, pontes e redes de caixas.
Arbitragem Jurisdicional
Fierman descreveu a arbitragem jurisdicional:
“A DPRK buscará ajustar mecanismos, como visto recentemente, usando tudo, desde grandes fontes de liquidez para lavagem, como o Huione Group, ou alavancando corretores de balcão regionais que ou não buscam cumprir requisitos regulatórios, ou têm regulamentação fraca em suas jurisdições operacionais.”
O Futuro da Aplicação
A resposta no curto prazo é ambos. A Chainalysis constata que transferências diretas de entidades ilícitas para exchanges caíram para cerca de 15% no segundo trimestre de 2025, implicando que triagem, sanções e cooperação de exchanges são eficazes. No entanto, essas ações empurram o dinheiro para saltos cross-chain em camadas e processadores de pagamento fora dos regimes mais rigorosos.
Os dados de 2025 do GAFI mostram que as leis da regra de viagem estão nos livros na maioria dos grandes centros, mas sua aplicação é desigual, e é precisamente nessa desigualdade que novos corredores de lavagem se formam. Existem atritos reais do lado do adversário. Operações da Interpol e ações nacionais congelam fatias maiores de saldos ilícitos, e atores privados publicizam congelamentos e apreensões, destacando uma tendência mais ampla de “de-risking” que aumenta os custos de lavagem da DPRK.
Emissoras de stablecoin podem congelar ativos em qualquer ponto da cadeia de suprimentos, um poder que concentra risco em emissoras centralizadas, mas melhora as chances de recuperação quando exercido rapidamente. A questão é se esse atrito se acumula mais rápido do que os atacantes podem contorná-lo.
Mitigação de Riscos
Trate intrusões no estilo DPRK como um cenário de risco de negócio, não um cisne negro. Avisos sobre o TraderTraitor dos EUA fornecem mitigações práticas, incluindo o reforço de pipelines de contratação e acesso a fornecedores, exigindo verificação de assinatura de código para ferramentas, restringindo orçamentos de hot-wallet e automatizando limites de velocidade de retirada.
Adicionalmente, ensaiar playbooks de incidentes que incluam triagem imediata de endereços, políticas de paralisação de pontes e caminhos de escalonamento para as forças de segurança também é recomendado. O estudo de caso indica que congelamentos precoces, rastreamento rápido habilitado por KYC e cooperação de exchanges aumentam significativamente as chances de recuperação.
Para rotas de capital, aplique listas de permissão pré-aprovadas de pontes e exchanges descentralizadas com justificativa de negócio e estenda a triagem pronta para a regra de viagem para movimentos de tesouro para evitar o “taint backflow” (retorno de contaminação). Fornecedores de análise de blockchain publicam novas tipologias de bandeiras vermelhas para lavagem cross-chain: incorpore-as ao monitoramento para que os alertas sintonizem saltos de ponte e pivôs de ativos nativos, não apenas tags de mixers legados.
Philipp Zentner, fundador da Li.Fi, argumentou que kill switches on-chain enfrentam um desequilíbrio entre centralização e capacidade de resposta. Em uma nota, ele explicou:
“Uma solução puramente on-chain sem um ator centralizado é muito improvável de ser alcançável. Qualquer coisa que não seja curada pode ser mal utilizada, e qualquer coisa muito aberta pode também ser usada pelo próprio hacker. Quando agregadores de DEX e pontes são contatados sobre um hacker, muitas vezes já é tarde demais.” Ele acrescentou que uma solução centralizada tem muito mais probabilidade de sucesso hoje em dia.
Essa franqueza reflete a realidade de que protocolos descentralizados carecem da camada de coordenação necessária para interromper a propagação de roubos em tempo real sem introduzir o risco de centralização impulsionada por humanos.
Conclusão: Um Jogo Contínuo de Gato e Rato
O quadro geral é que a aplicação aumentou o custo e a complexidade da lavagem, mas não parou os roubos. Atores ligados à DPRK roubaram mais em 2025 do que em qualquer ano anterior, no entanto, eles agora são forçados a rotar por dez cadeias, converter através de pares obscuros e confiar em corretores regionais OTC em vez de sacar diretamente em exchanges principais. Isso é progresso para defensores, heurísticas de detecção, análise de clusters e cooperação transfronteiriça estão funcionando, mas também é prova de que os atacantes se adaptam mais rápido do que os reguladores harmonizam.
O teste de 2026 será se a próxima rodada de aplicação com implementação mais rigorosa da regra de viagem, congelamentos de stablecoin mais agressivos e ações multilaterais contínuas comprimirá a janela de lavagem o suficiente para que atores estatais sofisticados enfrentem atritos proibitivos. Ou, alternativamente, se eles se aprofundarão em jurisdições com supervisão fraca e continuarão a financiar operações através de roubo de cripto. A resposta determinará se a indústria pode confiar na conformidade como uma defesa principal ou se necessita de mudanças arquiteturais que reforcem pontes, limitem a exposição de hot wallets e integrem melhor a coordenação de resposta a incidentes aos próprios protocolos.