Pagamentos milionários a supostos devs ligados à Coreia do Norte
Em uma sequência de postagens publicadas em seu perfil no X (antigo Twitter), o investigador on-chain ZachXBT revelou evidências que podem indicar uma operação coordenada de hackers norte-coreanos infiltrados como desenvolvedores em projetos cripto.
Segundo ele, mais de US$ 16,5 milhões foram enviados a endereços ligados à Coreia do Norte desde o início de 2025, o que equivale a cerca de US$ 2,76 milhões por mês. Considerando que os salários dos devs identificados variam entre US$ 3.000 e US$ 8.000 por mês, os números sugerem que entre 345 e 920 cargos podem ter sido ocupados por ITWs (trabalhadores de TI estrangeiros) ligados ao regime norte-coreano.
1/ My recent investigation uncovered more than $16.58M in payments since January 1, 2025 or $2.76M per month has been sent to North Korean IT workers hired as developers at various projects & companies.
— ZachXBT (@zachxbt) July 2, 2025
To put this in perspective payments range from $3K-8K per month meaning… pic.twitter.com/pjHZG9wJ4r
Sinais de alerta nos projetos
Entre os indícios levantados por ZachXBT estão:
Recusa dos devs em participar de reuniões presenciais, mesmo alegando morar na mesma cidade que o restante do time;
Recomendação cruzada entre três perfis suspeitos para vagas no mesmo projeto;
Endereços IP russos utilizados por usuários que afirmam estar nos EUA;
Alterações frequentes em perfis do GitHub e remoção de contas no LinkedIn;
Diversos pagamentos destinados a um mesmo endereço de carteira;
Falha em verificações KYC de rotina.
Fundos com origem controversa
Uma parte dos fundos rastreados teria vindo diretamente de contas da Circle, emissora da stablecoin USDC. Zach destaca que alguns desses endereços estão a apenas um “salto” de distância de uma carteira bloqueada pela Tether em abril de 2023, associada a Hyon Sop Sim, suposto agente norte-coreano já ligado a atividades ilícitas com cripto.
Apesar da postura de “conformidade total” promovida pela Circle, o analista criticou a falta de canais adequados para denúncia de atividades suspeitas e a ausência de resposta durante grandes ataques.
Monitoramento em andamento
ZachXBT afirma que está monitorando cinco outros clusters de atividade suspeita, que permanecem ativos e, por isso, não foram divulgados. Ele ainda destaca que muitos desses devs ocupam mais de um cargo simultaneamente, com alta rotatividade por conta do fraco desempenho técnico. Uma vez infiltrados, podem assumir controle de contratos e comprometer a segurança do projeto.
Infiltração também em empresas tradicionais?
Segundo o analista, empresas de tecnologia tradicionais também estariam vulneráveis. Ao contrário das transações em fiat, os pagamentos com criptomoedas permitem rastreamento on-chain, o que torna os fluxos suspeitos mais visíveis.
Além disso, Zach observa que neobancos e fintechs com integração a stablecoins vêm facilitando a conversão de moedas fiduciárias em cripto por parte desses atores.
A situação ainda está sob investigação por parte da comunidade on-chain. As informações levantadas por ZachXBT não foram confirmadas por órgãos oficiais, mas chamam atenção pela robustez dos dados apresentados e pela gravidade do possível envolvimento de agentes estatais em fraudes cripto.
