O manual de segurança mudou.
Os ataques de força bruta ainda existem, mas a ameaça mais sofisticada agora parece mais um modelo industrializado de agente adormecido:
Agentes maliciosos a infiltrar-se em equipas, fluxos de trabalho e sistemas de acesso, esperando pelo momento mais limpo para atacar.
Isso torna o recrutamento muito mais do que uma simples procura de talento. Cada nova contratação técnica torna-se uma decisão de confiança com risco real para o balanço. Um programador comprometido, um contratado mal verificado ou um vetor interno podem transformar a papelada de integração em milhões de de valor total bloqueado (TVL) drenado.
Fortunas são gastas em auditorias de contratos inteligentes, mas a violação de segurança mais devastadora de hoje é a porta traseira humana, um caminho direto que nenhuma auditoria de software pode detetar ou bloquear.
Explorar todas as vulnerabilidades
Para uma bolsa de criptomoedas ou um protocolo de finanças descentralizadas (DeFi), cada nova contratação é efetivamente uma operação de alto risco. O colateral são os ativos dos utilizadores e a reputação da marca.
Grupos patrocinados pelo Estado norte-coreano, como o notório Grupo Lazarus, industrializaram a estratégia de agente adormecido. As suas táticas evoluíram para armadilhas complexas de recrutadores falsos, visando o coração da indústria cripto.
A cultura remota da cripto torna esta estratégia ainda mais eficaz, já que o único firewall de segurança é o departamento de recursos humanos (RH). Como resultado, os departamentos de RH devem aprender rapidamente como estes operativos estão a contornar as defesas técnicas para infiltrar equipas.
Devem construir um processo de recrutamento de confiança zero para proteger não só os ativos sob custódia e a marca, mas também a sua visão.
Dos protocolos às pessoas
De acordo com a Chainalysis, agentes de ameaça norte-coreanos roubaram um recorde de $2,02 mil milhões em cripto em 2025. Foi um aumento impressionante de 51% em relação ao ano anterior, com uma parte considerável atribuída a acesso tipo insider.
A nova estratégia é a Infiltração a Montante.
Em vez de invadir uma empresa, eles simplesmente candidatam-se a um emprego. Uma vez dentro, o operativo qualificado pode facilmente mapear a rede interna e identificar todas as carteiras quentes. O resultado não é apenas perda de fundos, mas também uma subversão total da lógica do protocolo.
Esta mudança é melhor ilustrada por violação de engenharia social devastadora e manipulação de infraestrutura que redefiniram a segurança de bolsas e protocolos.
Em fevereiro de 2025, o Grupo Lazarus comprometeu o ambiente de desenvolvimento da infraestrutura da Bybit. Injetaram código malicioso na interface da carteira, enganando operadores para assinarem cegamente o que pareciam ser “transferências rotineiras”.
Isso levou a uma perda recorde de $1,5 mil milhões, destacando uma vulnerabilidade crítica. A segurança de uma bolsa é tão forte quanto a integridade dos indivíduos que gerem o seu pipeline de implementação.
Em abril de 2026, a Kelp organização autónoma descentralizada (DAO) sofreu um ataque de $292 milhões ligado ao subgrupo TraderTraitor do Lazarus. As investigações revelaram que os atacantes se infiltraram no projeto como contribuidores.
Envenenaram o processo de verificação do protocolo e forçaram uma transferência para infraestrutura maliciosa.
Isto é um lembrete claro de que descentralizado não significa inatacável se os principais contribuidores forem comprometidos. Serve como uma lição séria de que um protocolo só pode ser tão imutável quanto a integridade do seu programador.
Anatomia da armadilha
A infiltração começa muito antes da primeira chamada no Zoom.
-
Os atacantes fabricam históricos digitais completos para fornecer prova de trabalho que satisfaça até os recrutadores mais céticos.
-
Os operativos utilizam frequentemente empresas falsas de capital de risco (VC) ou recrutamento para construir um histórico de um ano. Isto pode incluir blogs técnicos, recomendações no LinkedIn e commits no GitHub.
Eles não se limitam a enviar um currículo. Em vez disso, apresentam uma vida digital curada e aprimorada por IA projetada para parecer de alto nível no mundo cripto.
Noutros casos, o operativo finge ser um recrutador de uma bolsa ou empresa de VC prestigiada. Aborda os programadores atuais de um projeto com oportunidades de emprego que exigem uma tarefa técnica de triagem. Na realidade, é uma armadilha que serve como mecanismo de entrega de malware.
Foi o que aconteceu no caso da Veltrix Capital, que não era uma empresa de recrutamento real. Foi criada para atrair programadores cripto para um processo de candidatura falso e iniciar o seu projeto de engenharia social.
Testes de programação como cavalos de Troia
A fase de avaliação técnica é o ponto de entrada definitivo na segurança das carteiras de um projeto cripto. Num processo de contratação padrão, é prática comum um candidato enviar um repositório a um programador principal para revisão.
-
Envenenamento de dependências: Investigadores da ReversingLabs identificaram pacotes maliciosos como graphalgo (no PyPI) e bigmathutils (no npm) usados especificamente nestes testes práticos.
-
A carga útil: No momento em que o gestor de contratação ou o programador principal executa npm install para verificar o trabalho do candidato, um script pós-instalação é ativado.
-
O resultado: Um Trojan de Acesso Remoto (RAT), frequentemente uma variante do BeaverTail, é implantado. Verifica imediatamente a extensão do navegador MetaMask e exfiltra cookies de sessão.
A entrega do malware está concluída. Isto dá ao atacante acesso ao Slack interno, GitHub e ambientes de produção.
Identificar sinais de alerta durante chamadas
Detetar operativos norte-coreanos requer olhar além das competências técnicas e focar-se em inconsistências durante chamadas no Zoom, por exemplo.
-
Tenha atenção a falhas técnicas persistentes ou desculpas de baixa largura de banda que impeçam aparições com câmara durante discussões técnicas aprofundadas.
-
Seja sensível a clonagem de voz por IA em tempo real ou estranhos atrasos nas respostas. Este desfasamento entre identidade e voz ocorre quando uma pessoa fala enquanto outra fornece respostas técnicas em segundo plano.
-
Há um evidente desfasamento entre competência e maturidade quando um candidato sénior em Rust tem dificuldades com exercícios improvisados de whiteboard sobre conceitos DeFi. Se só consegue atuar quando consulta a sua equipa, provavelmente não é quem diz ser.
-
Por fim, procure filtros de escritório em casa estáticos ou desfocados que não correspondam à iluminação ou aos movimentos do candidato. Estas inconsistências visuais são frequentemente resultado de software de deepfake em tempo real usado para manter a persona do operativo.
O erro humano
As organizações devem implementar uma estrutura de recrutamento de confiança zero para proteger o seu tesouro contra o erro humano. Tal estrutura deve ter uma verificação rigorosa e em múltiplas camadas antes de conceder quaisquer permissões internas.
Um modelo de contratação de confiança zero substitui o recrutamento baseado na fé por um ciclo de validação reforçado pela segurança, onde nenhuma credencial é válida até ser comprovada. Os projetos neutralizam a ameaça de candidatos sintéticos avançados ancorando identidades e verificando competências em tempo real.
No Web3, cada contratação é um investimento na custódia do protocolo e, como resultado, adiciona um novo signatário à multi-assinatura de uma organização. Com a crescente complexidade das estratégias de hackers, os departamentos de RH remotos devem continuar a ser educados sobre violações de segurança e implementar verificações rigorosas antes de liberar qualquer contrato a potenciais contratados.
Como implementar recrutamento de confiança zero
Segurança Operacional Social (Social OpSec) é uma estrutura defensiva projetada para sanear a pegada digital de uma equipa. Garante que dados públicos fragmentados não possam ser recolhidos por agentes patrocinados pelo Estado para criar uma violação organizacional elaborada.
O pipeline de recrutamento de um protocolo deve ser tão seguro quanto os seus contratos inteligentes para proteger os ativos dos stakeholders. Para isso, recomenda-se a implementação imediata destes passos:
-
Verificação centrada na identidade: Utilize um serviço de verificação de ID ao vivo (como Jumio ou Clear) para confirmar a identidade do candidato com base no seu documento oficial. Deve ser feito em tempo real durante a primeira chamada de vídeo.
-
Avaliações técnicas em sandbox: Nunca execute o código de um candidato numa máquina local. Use ambientes isolados e efémeros na nuvem, como Gitpod ou Replit, para rever e executar o código. É o equivalente de contratação a usar uma carteira descartável para mintings arriscados.
-
Programação ao vivo com câmara ligada: Substitua testes para casa por sessões de programação ou whiteboard interativas ao vivo. Isto impede que candidatos terceirizem o trabalho para uma equipa de apoio em segundo plano.
-
Audite as suas dependências: Antes de rever qualquer repositório externo, analise os ficheiros de configuração (como package.json) em busca de pacotes desconhecidos ou com poucas descargas. Estes podem ser versões typosquatted de ferramentas legítimas.
Para além do firewall
A segurança já não é apenas responsabilidade do Diretor Técnico (CTO) em 2026; começa com o departamento de RH.
Os casos da Kelp DAO e da Bybit demonstram que mesmo as configurações técnicas mais robustas podem ser desfeitas por um único humano de confiança comprometido. Um modelo de recrutamento de confiança zero ajuda a garantir que as novas contratações estão lá para construir a visão, não para a destruir.
Tratar cada contratação com o mesmo rigor que uma operação de milhões é a única forma de garantir a sobrevivência a longo prazo do protocolo.
Como comprar cripto na Toobit
Para comprar cripto na Toobit, cria uma conta, completa a verificação e vai a “Comprar cripto”. Escolhe um token, seleciona um método de pagamento e confirma a compra. Os teus ativos aparecerão na Conta Spot assim que a transação for concluída.
Parabéns, agora sabes como comprar cripto na Toobit!
