A exchange descentralizada (DEX) Drift Protocol, baseada em Solana, disse no domingo que o ataque que drenou aproximadamente US$ 285 milhões da plataforma foi uma operação de inteligência estruturada de seis meses por um grupo de ameaças afiliado ao estado norte-coreano.
Os atacantes usaram identidades profissionais falsas, reuniões presenciais em conferências e ferramentas de desenvolvedor maliciosas para comprometer os colaboradores antes de executar a drenagem, disse o protocolo em uma atualização detalhada do incidente.
https://t.co/qYBMCup9i6
— Drift (@DriftProtocol) April 5, 2026
"As equipes de cripto agora enfrentam adversários que operam mais como unidades de inteligência do que como hackers, e a maioria das organizações não está estruturalmente preparada para esse nível de ameaça", disse Michael Pearl, VP de Estratégia da empresa de segurança blockchain Cyvers, ao Decrypt.
Drift disse que o grupo abordou pela primeira vez os colaboradores em uma grande conferência de cripto no outono passado, apresentando-se como uma empresa de trading quantitativo buscando integrar-se ao protocolo.
Ao longo de meses, o grupo construiu confiança por meio de reuniões presenciais, coordenação via Telegram, integrou um Cofre do Ecossistema no Drift e fez um depósito de US$ 1 milhão de seu próprio capital no cofre, apenas para desaparecer, com conversas e malwares “completamente limpos” quando o exploit ocorreu.
A DEX disse que a intrusão pode ter envolvido um repositório de código malicioso, um aplicativo TestFlight falso e uma vulnerabilidade VSCode/Cursor que permitiu a execução silenciosa de código sem interação do usuário.
Drift atribuiu o ataque com “confiança média-alta” ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet — o mesmo grupo afiliado ao estado norte-coreano que a empresa de cibersegurança Mandiant ligou ao hack da Radiant Capital de 2024.
Drift disse que os indivíduos que se encontraram pessoalmente com os colaboradores não eram nacionais norte-coreanos, observando que atores ligados à RPDC frequentemente dependem de intermediários para “engajamento presencial”.
Fluxos de fundos on-chain e personas sobrepostas apontam para atores ligados à RPDC, de acordo com os respondedores a incidentes SEAL 911, embora a Mandiant ainda não tenha confirmado a atribuição aguardando análises forenses, observou a plataforma.
O pesquisador de segurança @tayvano_, um dos especialistas que o Drift creditou pela assistência na identificação dos atores maliciosos, sugeriu que a exposição se estende muito além deste incidente.
Em um tweet, o especialista listou dezenas de protocolos DeFi, alegando que "trabalhadores de TI da RPDC construíram os protocolos que você conhece e adora, desde o verão DeFi".
"Drift e Bybit destacam o mesmo padrão — os signatários não foram diretamente comprometidos no nível do protocolo, eles foram enganados para aprovar transações maliciosas", observou Pearl. "A questão central não é o número de signatários, mas a falta de compreensão da intenção da transação."
Ele disse que as carteiras multisig, embora sejam uma melhoria em relação ao controle de chave única, agora criam uma falsa sensação de segurança, introduzindo "um paradoxo" onde a responsabilidade compartilhada diminui o escrutínio entre os signatários.
"A segurança deve mudar para a validação pré-transação no nível da blockchain, onde as transações são simuladas e verificadas independentemente antes da execução", disse Pearl, acrescentando que, uma vez que os atacantes controlam o que os usuários veem, a única defesa eficaz é validar o que uma transação realmente faz, independentemente da interface.
Sobre as ferramentas de desenvolvedor como superfície de ataque, Lavid disse que a premissa deve mudar desde a base.
"É preciso assumir que o endpoint está comprometido", disse ele ao Decrypt, apontando para IDEs, repositórios de código, aplicativos móveis e ambientes de signatários como pontos de entrada cada vez mais comuns.
"Se essas ferramentas fundamentais são vulneráveis, qualquer coisa mostrada ao usuário — incluindo transações — pode ser manipulada", disse o especialista, observando que isso "quebra fundamentalmente as suposições de segurança tradicionais", deixando as equipes incapazes de confiar "na interface, no dispositivo ou mesmo no fluxo de assinatura".
