Quando as exchanges registadas no Reino Unido se tornam alvos: Como Lazarus ataca novamente na crise de segurança em criptomoedas

Operativos cibernéticos patrocinados pelo Estado da Coreia do Norte foram diretamente atribuídos a um roubo devastador de 22,8 milhões de dólares que desmantelou a plataforma de criptomoedas registrada no Reino Unido, Lykke, de acordo com as autoridades de sanções do Tesouro Britânico. O ataque ao local de negociação com sede na Suíça representa mais um capítulo na campanha sistemática de Pyongyang para infiltrar plataformas de ativos digitais em todo o mundo—gerando bilhões em criptomoedas roubadas para contornar sanções internacionais e financiar o desenvolvimento de armas.

Como o ataque se desenrolou e o que foi perdido

O Escritório de Implementação de Sanções Financeiras do Tesouro (OFSI) conectou formalmente os atores cibernéticos da República Popular Democrática da Coreia à violação maciça. A Lykke sofreu perdas significativas em várias redes blockchain, com Bitcoin (BTC) e Ethereum (ETH) formando o núcleo dos ativos roubados. A plataforma, que operava na região de Zug, na Suíça, enquanto mantinha registro no Reino Unido sob o fundador Richard Olsen, destacou-se por um modelo de negociação sem taxas—uma vantagem competitiva que, no entanto, não conseguiu protegê-la de operações cibernéticas sofisticadas de nível estatal.

Após a intrusão, a bolsa suspendeu as operações de negociação e eventualmente deixou de funcionar completamente. O incidente forçou a liquidação da matriz suíça, enquanto Olsen—bisneto da dinastia bancária Julius Baer—enfrentava falência pessoal e investigações criminais simultâneas na Suíça.

Pesquisa independente corrobora a atribuição

A organização israelense de pesquisa em cibersegurança Whitestream verificou de forma independente a conexão com Lazarus, rastreando evidências adicionais de como os atacantes canalizaram fundos roubados através de intermediários de criptomoedas projetados para obscurecer trilhas de transação e contornar salvaguardas anti-lavagem de dinheiro. No entanto, alguns pesquisadores de segurança questionaram publicamente se as evidências forenses existentes estabelecem uma atribuição definitiva, destacando a complexidade da análise de atribuição baseada em blockchain.

Consequências legais e para os investidores

Os danos foram além do encerramento operacional. Mais de 70 clientes iniciaram petições de liquidação nos tribunais do Reino Unido, reivindicando coletivamente £5,7 milhões em perdas decorrentes do colapso da plataforma. A Autoridade de Conduta Financeira (FCA) já havia emitido avisos de cautela sobre a Lykke em 2023, alertando que a empresa operava sem a devida autorização regulatória do Reino Unido para conduzir serviços financeiros.

Apesar das garantias da gestão quanto à recuperação dos fundos dos clientes, o status de negociação congelada transformou-se em encerramento permanente até dezembro. A declaração de falência de Richard Olsen em janeiro agrava os desafios de recuperação enfrentados pelos investidores afetados durante o processo de liquidação.

O que isso revela sobre vulnerabilidades das exchanges

O incidente da Lykke destaca uma vulnerabilidade crítica do setor: plataformas registradas no Reino Unido e posicionadas internacionalmente continuam sendo alvos de alto valor para atores cibernéticos apoiados por Estados. O padrão de ataque documentado do Lazarus Group demonstra como operações criminosas de cibersegurança sistematicamente sondam a infraestrutura de segurança das exchanges, muitas vezes explorando vulnerabilidades em locais de negociação menores ou menos protegidos. O sucesso operacional do grupo—culminando em roubos de criptomoedas de bilhões de dólares ao longo dos anos—ilustra por que uma arquitetura de segurança de nível institucional e conformidade regulatória são requisitos inegociáveis no comércio moderno de ativos digitais.

A implicação mais ampla: enquanto a Coreia do Norte continua a usar o roubo cibernético para contornar o isolamento econômico, o ecossistema de criptomoedas enfrenta uma pressão contínua para fortalecer defesas e implementar mecanismos de detecção mais sofisticados antes que os ataques atinjam infraestruturas críticas.