Correio do Holder

Tag: Lavagem de Dinheiro

  • Roubos Recordes de Criptomoedas por Hackers Norte-Coreanos: EUA Recuperam US$ 439 Milhões em Operação Global

    Roubos Recordes de Criptomoedas por Hackers Norte-Coreanos: EUA Recuperam US$ 439 Milhões em Operação Global

    Hackers ligados à Coreia do Norte roubaram mais de US$ 2 bilhões em criptomoedas em 2025, superando todos os anos anteriores registrados, enquanto as forças de segurança globais recuperaram US$ 439 milhões e prenderam centenas de lavadores de dinheiro em 40 países em uma única operação de quatro meses. A colisão entre roubos recordes patrocinados pelo Estado e a aplicação multilateral coordenada levanta uma questão mais aguda do que se o crime de cripto está fora de controle: os atacantes estão atingindo um teto, ou eles estão aprendendo a contornar cada novo ponto de verificação que os governos implementam? A resposta molda as políticas do tesouro, os orçamentos de segurança de pontes e a viabilidade da infraestrutura que preserva a privacidade. Se a aplicação for dent nos fluxos ilícitos, a indústria poderá confiar em KYC aprimorado, sanções e análises de blockchain para gerenciar riscos. Suponha que os atacantes se adaptem saltando entre cadeias (chains), fragmentando saídas de caixa (cash-outs) e explorando jurisdições com fraca adoção da regra de viagem (“travel rule”). Nesses casos, a pilha defensiva precisa de mudanças arquiteturais, não apenas de um melhor teatro de conformidade.

    O Cenário de Roubos Recordes

    A violação de fevereiro de 2025 definiu a escala para o ano. O FBI atribuiu o roubo de US$ 1,5 bilhão ao Lazarus Group da Coreia do Norte, também conhecido como o cluster TraderTraitor, uma campanha de spear-phishing e malware de vários anos visando desenvolvedores de blockchain e equipes de operações. Os atacantes entregaram aplicações de negociação trojanizadas por meio de comprometimentos na cadeia de suprimentos, obtendo acesso à infraestrutura de assinatura de hot-wallet. A TRM Labs documentou a lavagem subsequente: swaps imediatos em ativos nativos, saltos de ponte (bridge hops) para Bitcoin e Tron, então misturas em camadas em protocolos obscuros.

    A atualização de meio de ano da Chainalysis confirmou perdas de serviços de mais de US$ 2,17 bilhões até 30 de junho, com o roubo da Bybit respondendo pela maioria. O breve relatório da Elliptic em outubro elevou o total para mais de US$ 2 bilhões atribuídos apenas a atores ligados à DPRK, observando “a crescente complexidade de lavagem em resposta à melhor rastreabilidade”. A Agência Nacional de Polícia do Japão e o Centro de Crimes Cibernéticos do Departamento de Defesa dos EUA ligou conjuntamente a perda de US$ 308 milhões da DMM Bitcoin à mesma infraestrutura do TraderTraitor no final de 2024.

    O Ministério das Relações Exteriores do Japão publicou um compêndio de 2025 consolidando métodos de roubo cibernético da DPRK, rotas de lavagem e incidentes específicos ao longo de 18 meses, estabelecendo padrões de atribuição que se baseiam em famílias de malware, sobreposições de infraestrutura e heurísticas on-chain confirmadas por várias agências de inteligência.

    Mudanças na Superfície de Ataque

    A superfície de ataque mudou de hot wallets de câmbio para pontes e operações de validadores, onde falhas em ponto único desbloqueiam fluxos massivos. O relatório Crime Cross-Chain de 2025 da Elliptic mediu com que frequência os ativos roubados agora atravessam mais de três, cinco ou até dez cadeias para frustrar a rastreabilidade. Andrew Fierman, chefe de inteligência de segurança nacional na Chainalysis, descreveu a evolução em uma nota:

    “Lavadores da DPRK estão mudando perpetuamente os mecanismos de lavagem e táticas de evasão para evitar interrupções.”

    Ele acrescentou que mixers permanecem no kit de ferramentas, já que o Tornado Cash viu fluxos renovados ligados à DPRK após o Tesouro retirar sua designação de sanções em março de 2025, seguindo reveses judiciais. No entanto, a mistura de locais continua mudando. Após o Blender e o Sinbad serem sancionados, os fluxos se moveram para exchanges descentralizadas cross-chain, corredores de USDT e corretores de balcão (over-the-counter) no Sudeste Asiático.

    A Resposta da Aplicação da Lei

    A aplicação aumentou em 2025. A Operação HAECHI VI da Interpol, que ocorreu de abril a agosto, recuperou US$ 439 milhões em 40 países, incluindo US$ 97 milhões em ativos virtuais. A ação coordenada seguiu a HAECHI V de 2024, que estabeleceu recordes de prisões e apreensões. A Europol continuou ações paralelas contra infraestrutura de lavagem e redes de fraude de cripto ao longo do ano.

    A atualização de junho de 2025 do GAFI (Grupo de Ação Financeira Internacional) revelou que a implementação da regra de viagem havia aumentado para 85 jurisdições, com orientações para supervisores apertando o compartilhamento de informações transfronteiriças. Esses são ventos contrários materiais para redes de saída de caixa que dependiam de regimes de conformidade fragmentados.

    Sanções e casos criminais agora visam facilitadores tanto quanto hackers. As ações de julho de 2025 do Office of Foreign Assets Control atingiram as cadeias de receita de trabalhadores de TI da DPRK, enquanto indiciamentos e confiscos do Department of Justice acusaram operativos norte-coreanos de roubo e lavagem de cripto. Promotores forçaram confissões de culpa de operadores de Samourai Wallet, e o coordenador do Wasabi foi desativado em 2024.

    Tendências na Lavagem de Dinheiro

    O resultado é menos centros de lavagem grandes e centralizados e mais ofuscação fragmentada e cross-chain. Fierman observou a resposta tática:

    “O aumento da diligência Know Your Customer (KYC) por exchanges pode ajudar a interromper contas de mulas, a sanção de mixers acabou impulsionando atores para plataformas alternativas, que podem ter menos liquidez para facilitar lavagem em larga escala, e a capacidade das emissoras de stablecoin de congelar ativos em qualquer ponto da cadeia de suprimentos ajudam a interromper os esforços de lavagem da DPRK.”

    Padrões de Atribuição e Novas Táticas

    Os padrões de atribuição combinam forense on-chain com inteligência de sinais e análise de malware. O FBI confirmou publicamente a atribuição da Bybit em fevereiro de 2025, enquanto vários veículos e o ministério das relações exteriores do Japão consolidaram evidências ligando o TraderTraitor a roubos anteriores.

    A seleção de alvos mudou para exchanges, pontes e caminhos de validadores, onde falhas de segurança operacional desbloqueiam o valor máximo. Dados da Chainalysis mostram que as perdas de 2025 foram concentradas em violações de nível de serviço em vez de comprometimentos de carteiras individuais, refletindo uma mudança dos atacantes para alvos de infraestrutura de alta alavancagem.

    Padrões de lavagem agora rotam regularmente através de corredores de USDT e saídas de balcão (OTC off-ramps) fora de zonas regulatórias estritas. Uma investigação da Reuters de 2024 rastreou fluxos ligados ao Lazarus para uma rede de pagamentos no Sudeste Asiático. Chainalysis e Elliptic documentam um declínio constante nas saídas de caixa diretas de exchanges, de aproximadamente 40% das transferências ilícitas em 2021-22 para cerca de 15% em meados de 2025, e um aumento correspondente em rotas complexas e multi-hop que misturam swaps de exchanges descentralizadas, pontes e redes de caixas.

    Arbitragem Jurisdicional

    Fierman descreveu a arbitragem jurisdicional:

    “A DPRK buscará ajustar mecanismos, como visto recentemente, usando tudo, desde grandes fontes de liquidez para lavagem, como o Huione Group, ou alavancando corretores de balcão regionais que ou não buscam cumprir requisitos regulatórios, ou têm regulamentação fraca em suas jurisdições operacionais.”

    O Futuro da Aplicação

    A resposta no curto prazo é ambos. A Chainalysis constata que transferências diretas de entidades ilícitas para exchanges caíram para cerca de 15% no segundo trimestre de 2025, implicando que triagem, sanções e cooperação de exchanges são eficazes. No entanto, essas ações empurram o dinheiro para saltos cross-chain em camadas e processadores de pagamento fora dos regimes mais rigorosos.

    Os dados de 2025 do GAFI mostram que as leis da regra de viagem estão nos livros na maioria dos grandes centros, mas sua aplicação é desigual, e é precisamente nessa desigualdade que novos corredores de lavagem se formam. Existem atritos reais do lado do adversário. Operações da Interpol e ações nacionais congelam fatias maiores de saldos ilícitos, e atores privados publicizam congelamentos e apreensões, destacando uma tendência mais ampla de “de-risking” que aumenta os custos de lavagem da DPRK.

    Emissoras de stablecoin podem congelar ativos em qualquer ponto da cadeia de suprimentos, um poder que concentra risco em emissoras centralizadas, mas melhora as chances de recuperação quando exercido rapidamente. A questão é se esse atrito se acumula mais rápido do que os atacantes podem contorná-lo.

    Mitigação de Riscos

    Trate intrusões no estilo DPRK como um cenário de risco de negócio, não um cisne negro. Avisos sobre o TraderTraitor dos EUA fornecem mitigações práticas, incluindo o reforço de pipelines de contratação e acesso a fornecedores, exigindo verificação de assinatura de código para ferramentas, restringindo orçamentos de hot-wallet e automatizando limites de velocidade de retirada.

    Adicionalmente, ensaiar playbooks de incidentes que incluam triagem imediata de endereços, políticas de paralisação de pontes e caminhos de escalonamento para as forças de segurança também é recomendado. O estudo de caso indica que congelamentos precoces, rastreamento rápido habilitado por KYC e cooperação de exchanges aumentam significativamente as chances de recuperação.

    Para rotas de capital, aplique listas de permissão pré-aprovadas de pontes e exchanges descentralizadas com justificativa de negócio e estenda a triagem pronta para a regra de viagem para movimentos de tesouro para evitar o “taint backflow” (retorno de contaminação). Fornecedores de análise de blockchain publicam novas tipologias de bandeiras vermelhas para lavagem cross-chain: incorpore-as ao monitoramento para que os alertas sintonizem saltos de ponte e pivôs de ativos nativos, não apenas tags de mixers legados.

    Philipp Zentner, fundador da Li.Fi, argumentou que kill switches on-chain enfrentam um desequilíbrio entre centralização e capacidade de resposta. Em uma nota, ele explicou:

    “Uma solução puramente on-chain sem um ator centralizado é muito improvável de ser alcançável. Qualquer coisa que não seja curada pode ser mal utilizada, e qualquer coisa muito aberta pode também ser usada pelo próprio hacker. Quando agregadores de DEX e pontes são contatados sobre um hacker, muitas vezes já é tarde demais.” Ele acrescentou que uma solução centralizada tem muito mais probabilidade de sucesso hoje em dia.

    Essa franqueza reflete a realidade de que protocolos descentralizados carecem da camada de coordenação necessária para interromper a propagação de roubos em tempo real sem introduzir o risco de centralização impulsionada por humanos.

    Conclusão: Um Jogo Contínuo de Gato e Rato

    O quadro geral é que a aplicação aumentou o custo e a complexidade da lavagem, mas não parou os roubos. Atores ligados à DPRK roubaram mais em 2025 do que em qualquer ano anterior, no entanto, eles agora são forçados a rotar por dez cadeias, converter através de pares obscuros e confiar em corretores regionais OTC em vez de sacar diretamente em exchanges principais. Isso é progresso para defensores, heurísticas de detecção, análise de clusters e cooperação transfronteiriça estão funcionando, mas também é prova de que os atacantes se adaptam mais rápido do que os reguladores harmonizam.

    O teste de 2026 será se a próxima rodada de aplicação com implementação mais rigorosa da regra de viagem, congelamentos de stablecoin mais agressivos e ações multilaterais contínuas comprimirá a janela de lavagem o suficiente para que atores estatais sofisticados enfrentem atritos proibitivos. Ou, alternativamente, se eles se aprofundarão em jurisdições com supervisão fraca e continuarão a financiar operações através de roubo de cripto. A resposta determinará se a indústria pode confiar na conformidade como uma defesa principal ou se necessita de mudanças arquiteturais que reforcem pontes, limitem a exposição de hot wallets e integrem melhor a coordenação de resposta a incidentes aos próprios protocolos.

  • Houve um erro de segurança no Canadá: Cryptomus Multada em US$ 126 Milhões por Lavagem de Dinheiro e Conexões Criminosas

    Houve um erro de segurança no Canadá: Cryptomus Multada em US$ 126 Milhões por Lavagem de Dinheiro e Conexões Criminosas

    O Canadá aplicou uma multa recorde de US$ 126 milhões à Cryptomus por falhas graves em suas obrigações de combate à lavagem de dinheiro. A empresa, registrada como Xeltox Enterprises Ltd, não reportou milhares de transações suspeitas, incluindo aquelas com potencial ligação a crimes como exploração infantil e ransomware, além de evasão de sanções.

    Cryptomus Multada em US$ 126 Milhões no Canadá

    O Financial Transactions and Reports Analysis Centre of Canada (FINTRAC), órgão regulador financeiro do Canadá, anunciou em 22 de outubro de 2025 a aplicação de uma multa de US$ 126 milhões à Cryptomus. Esta penalidade é a maior já imposta a uma única empresa pelo FINTRAC e representa quase nove vezes o valor da multa de US$ 14 milhões aplicada anteriormente à KuCoin.

    A empresa, oficialmente registrada como Xeltox Enterprises Ltd e com sede em Vancouver, falhou em reportar uma quantidade significativa de atividades suspeitas. Apenas em julho de 2024, foram mais de 1.000 instâncias de atividade incomum e mais de 1.500 relatórios sobre transações de criptomoedas em grande volume que não foram comunicados ao FINTRAC.

    Falhas Criticas na Conformidade Anti-Lavagem de Dinheiro

    As falhas da Cryptomus em seguir as regras anti-lavagem de dinheiro (AML – Anti-Money Laundering) do Canadá foram consideradas como um sério risco ao sistema financeiro do país. O FINTRAC destacou que a empresa deixou de cumprir requisitos legais fundamentais, essenciais para a prevenção de crimes financeiros.

    Em maio, a filial canadense da Binance também foi penalizada em US$ 4,28 milhões por questões semelhantes. Em ambos os casos, as empresas não conseguiram se registrar adequadamente e falharam em reportar transações de criptomoedas de grande valor ou que apresentavam características de suspeita.

    Cryptomus Ocultou Atividades Suspeitas de Diversa Natureza

    Investigações apontaram que a Cryptomus não apenas falhou em reportar transações, mas também ocultou informações relevantes sobre atividades criminosas. O órgão regulador financeiro canadense reiterou que a empresa esteve envolvida no acobertamento de transações ligadas a:

    • Material de abuso infantil
    • Ransomware
    • Fraudes
    • Transferências relacionadas ao Irã

    O relatório do FINTRAC enfatizou que o setor de criptomoedas no Canadá apresenta fragilidades que facilitam a exploração por criminosos. De acordo com o FINTRAC, as vulnerabilidades no setor:

    “prejudicam significativamente a transparência e a prestação de contas, e tornam o setor como um todo suscetível à exploração por atores ilícitos.”

    O FINTRAC considerou o sistema interno da Cryptomus como “incompleto e inadequado”.

    Falhas Adicionais na Fiscalização de Transações

    Além das falhas gerais em reportar atividades suspeitas, a Cryptomus também ignorou uma ordem governamental específica. A empresa deixou de realizar verificações extras em transações relacionadas ao Irã, não aplicando a fiscalização adicional em mais de 7.557 transações ocorridas entre julho e dezembro de 2024.

    Uma descoberta adicional pelo órgão regulador foi que o endereço em Vancouver listado pela empresa era, na verdade, apenas uma caixa postal alugada. Não havia funcionários ou escritórios físicos no Canadá, e todas as comunicações durante a investigação eram realizadas a partir do Uzbequistão ou da Espanha.

    Conexões com Bolsas Sancionadas e Grupos Criminosos

    Durante a investigação, foi revelado que a Cryptomus processou aproximadamente US$ 250 milhões em criptomoedas através da Garantex. A Garantex é uma bolsa russa sancionada, acusada pelos Estados Unidos de ser utilizada por criminosos para lavagem de dinheiro.

    Analistas da empresa de pesquisa TRM Labs informaram aos investigadores que a Cryptomus também possuía ligações com a Nobitex, uma bolsa iraniana. Além disso, a empresa interagiu com diversos grupos de cibercrime baseados na Rússia. Houve confirmação de transações diretas entre a Cryptomus e redes criminosas conhecidas.

    O FINTRAC também relatou que a Cryptomus forneceu informações de contato desatualizadas, incluindo um número de telefone que não estava vinculado à empresa e um endereço de e-mail que não era mais funcional.