O co-fundador da Solana, Anatoly Yakovenko, descreveu o recente hack do Drift Protocol como "aterrorizante" depois que foi revelado que foi resultado de um sofisticado ataque de engenharia social realizado por hackers norte-coreanos.
Conforme relatado pela U.Today, o Drift Protocol foi recentemente drenado em US$ 270 milhões, o que representa o maior hack da Solana até o momento dentro do ecossistema. O protocolo foi forçado a suspender todos os depósitos e saques, alertando explicitamente os usuários de que o incidente não era uma brincadeira de primeiro de abril.
O relatório, que foi recentemente compartilhado pelo Drift Protocol, revelou que os malfeitores por trás do hack histórico perseguiram fisicamente e manipularam socialmente os desenvolvedores na vida real. Isso exigiu uma paciência e recursos alarmantes.
A operação é fortemente suspeita de ser obra de um grupo de ameaça afiliado ao estado norte-coreano.
A partir do final de 2025, intermediários terceirizados (que não eram cidadãos norte-coreanos) abordaram fisicamente colaboradores da Drift em grandes conferências de cripto. Os atacantes, que ostentavam históricos profissionais verificáveis e fluência técnica, passaram-se por uma empresa de trading quantitativo buscando integrar-se ao protocolo.
A falsa empresa de trading integrou um Ecosystem Vault no Drift entre dezembro de 2025 e janeiro de 2026 e depositou mais de US$ 1 milhão de seu próprio capital.
Os atacantes conseguiram manter a ilusão por meio ano. Eles trabalharam de perto com os colaboradores da Drift através de múltiplas sessões de trabalho e encontrando-os pessoalmente em várias conferências internacionais durante fevereiro e março de 2026.
Em abril, os atacantes haviam estabelecido com sucesso um relacionamento comercial de confiança. Os colaboradores da Drift não suspeitaram de jogo sujo quando o grupo compartilhou links para projetos que alegavam estar construindo.
Um colaborador clonou um repositório de código compartilhado pelos atacantes. Este repositório provavelmente continha uma vulnerabilidade conhecida que afetava os editores de texto VSCode e Cursor. Um segundo colaborador foi convencido a baixar um aplicativo TestFlight falso.
Os atacantes limparam todos os seus chats do Telegram e apagaram o software malicioso após o exploit bem-sucedido.
