O Drift Protocol publicou no sábado seu relato mais detalhado até agora do exploit de 1º de abril que drenou aproximadamente US$ 280 milhões da exchange de perpétuos baseada em Solana, descrevendo o que a equipe chamou de "operação de inteligência estruturada" que levou cerca de seis meses para ser orquestrada.
De acordo com a atualização, o contato inicial ocorreu por volta do outono de 2025, quando indivíduos se apresentando como uma empresa de trading quantitativa abordaram colaboradores da Drift em uma grande conferência de cripto e expressaram interesse em integrar-se ao protocolo. Um grupo de Telegram foi criado nessa primeira reunião, e os mesmos indivíduos continuaram a se encontrar com colaboradores da Drift pessoalmente em eventos do setor em vários países nos meses seguintes.
Entre dezembro de 2025 e janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, preenchendo o formulário de estratégia padrão, participando de várias sessões de trabalho com colaboradores e depositando mais de US$ 1 milhão de seu próprio capital. O Drift afirmou que o comportamento era consistente com a forma como as empresas de trading legítimas geralmente se integram ao protocolo.
A análise forense de dispositivos afetados e históricos de comunicação após o exploit apontou essa relação como o provável caminho de intrusão. O Drift disse que os chats de Telegram do grupo e o software malicioso associado foram apagados nos momentos em que o ataque foi lançado.
A avaliação preliminar do Drift identifica dois métodos de comprometimento possíveis. Um colaborador pode ter sido infectado após clonar um repositório de código que o grupo compartilhou sob o pretexto de implantar um frontend para seu vault. Um segundo colaborador foi induzido a instalar uma versão beta de um aplicativo através da compilação TestFlight da Apple que o grupo descreveu como seu produto de carteira.
Para o caminho do repositório, o Drift sinalizou uma vulnerabilidade no VS Code e no Cursor sobre a qual pesquisadores de segurança alertavam publicamente entre dezembro de 2025 e fevereiro de 2026, na qual a simples abertura de um arquivo, pasta ou repositório no editor poderia executar silenciosamente código arbitrário sem qualquer prompt do usuário.
O exploit em si, como The Block relatou anteriormente, não envolveu um bug de contrato inteligente. O Drift o descreveu como um "ataque inovador envolvendo nonces duráveis", uma primitiva legítima de Solana que permite que transações sejam pré-assinadas e executadas posteriormente. O invasor obteve aprovações multisig antecipadamente, provavelmente por meio de engenharia social ou deturpação de transação, e então usou as autorizações pré-assinadas para apreender poderes administrativos do Conselho de Segurança e drenar o protocolo em minutos.
O Drift disse que, com o apoio da equipe SEAL 911, avalia com "confiança média-alta" que a operação foi realizada pelos mesmos atores norte-coreanos patrocinados pelo estado responsáveis pelo hack de US$ 50 milhões da Radiant Capital em outubro de 2024, que a Mandiant atribuiu ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet, um grupo de hackers com laços com o Departamento Geral de Reconhecimento do país.
A ligação reside tanto em sobreposições onchain quanto operacionais, de acordo com o Drift. Os fluxos de fundos usados para orquestrar e testar a operação do Drift remontam aos invasores da Radiant, e as personas implantadas na campanha têm sobreposições identificáveis com atividades conhecidas ligadas à RPDC, disse o Drift.
Notavelmente, o Drift enfatizou que os indivíduos que apareceram em conferências pessoalmente não eram cidadãos norte-coreanos. Atores de ameaça da RPDC operando neste nível são conhecidos por usar intermediários terceirizados para lidar com o trabalho de construção de relacionamento, disse o protocolo, e os perfis usados nesta operação tinham históricos de emprego completos, credenciais públicas e redes profissionais projetadas para resistir à devida diligência da contraparte.
A Mandiant, que o Drift contratou para liderar a investigação forense, não atribuiu formalmente o exploit do Drift. Essa determinação está pendente da conclusão da perícia de dispositivos.
O Drift disse que todas as funções restantes do protocolo foram congeladas, as carteiras comprometidas foram removidas do multisig e os endereços do invasor foram sinalizados com exchanges e operadores de bridge. O detetive onchain ZachXBT criticou separadamente a emissora de stablecoin Circle pelo que ele chamou de resposta lenta, alegando que o invasor transferiu aproximadamente 232 milhões de USDC de Solana para Ethereum via CCTP ao longo de seis horas sem que nenhum fundo fosse congelado.
O exploit do Drift é o maior hack DeFi de 2026 até o momento e ocupa o segundo lugar como o maior incidente de segurança na história de Solana, atrás do ataque à bridge Wormhole de US$ 325 milhões em 2022.
O Drift creditou os pesquisadores independentes e membros do SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio e Nick Bax por seu trabalho na identificação dos atores, e pediu que quaisquer equipes que acreditem ter sido alvo do mesmo grupo contatem o SEAL 911 diretamente.
"Para ser sincero – este é o ataque mais elaborado e direcionado que eu vi perpetrado pela RPDC no espaço cripto", escreveu tanuki42_ no X, além de alertar que outros protocolos também podem ter sido alvo. "Recrutar múltiplos facilitadores e depois fazê-los mirar pessoas específicas na vida real em grandes eventos cripto é uma tática selvagem."
Isenção de Responsabilidade: The Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é uma investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de cripto Bitget é uma LP âncora para a Foresight Ventures. O The Block continua a operar independentemente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido nem pretende ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
