O Drift Protocol afirmou que o ataque de 1º de abril à sua plataforma foi resultado de meses de planejamento e engenharia social.
A corretora descentralizada ligou o caso a um grupo que passou tempo construindo confiança com os contribuidores antes de enviar ferramentas e links maliciosos. Estimativas externas apontam a perda em cerca de US$ 280 milhões.
O Drift Protocol disse que sua análise inicial encontrou uma campanha longa e organizada contra a plataforma. A equipe afirmou que os atacantes demonstraram “apoio organizacional, recursos e meses de preparação deliberada” durante a operação.
A corretora disse que o contato começou por volta de outubro de 2025. Segundo o Drift, pessoas que se passavam por membros de uma empresa de trading quantitativo abordaram contribuidores em uma grande conferência de cripto e alegaram que queriam integrar-se ao protocolo.
O Drift disse que o grupo continuou a se reunir com contribuidores em vários eventos da indústria nos seis meses seguintes. A equipe afirmou que as pessoas envolvidas eram tecnicamente habilidosas, sabiam como o Drift funcionava e pareciam ter históricos profissionais reais.
Esse contato constante ajudou o grupo a ganhar confiança. O Drift disse que os atacantes usaram posteriormente links e ferramentas maliciosas compartilhadas com os contribuidores para comprometer dispositivos, realizar o exploit e remover vestígios de sua atividade após a violação.
Além disso, o Drift disse ter “confiança média-alta” de que os mesmos atores por trás do ataque à Radiant Capital em outubro de 2024 realizaram este exploit. Esse ataque anterior causou perdas de cerca de US$ 58 milhões e também envolveu malware usado para obter acesso a sistemas internos.
A Radiant Capital disse em dezembro de 2024 que um hacker alinhado à Coreia do Norte se fez passar por um ex-prestador de serviços e enviou malware via Telegram. A Radiant afirmou que “este arquivo ZIP” posteriormente se espalhou entre os desenvolvedores para feedback e abriu caminho para a intrusão.
O Drift disse que as pessoas que se encontraram pessoalmente com os contribuidores “não eram nacionais norte-coreanos”. Ao mesmo tempo, a equipe afirmou que atores de ameaça ligados à RPDC frequentemente usam intermediários terceirizados para contato pessoal e construção de relacionamentos.
A corretora disse que está trabalhando agora com as autoridades policiais e outros participantes da indústria cripto para construir um registro completo do ataque de 1º de abril.
O caso também adicionou um novo aviso para as empresas de cripto, pois conferências e reuniões presenciais podem dar aos grupos de ameaça a chance de estudar equipes, construir confiança e preparar ataques posteriores.
