Encontrar o grupo ou os indivíduos que roubaram US$ 285 milhões em cripto da Drift no início desta semana pode ser uma tarefa difícil no mundo real, mas a equipe por trás da exchange descentralizada baseada em Solana sabia exatamente onde encontrar seus atacantes on-chain.

Na sexta-feira, a Drift disse em uma publicação no X que havia enviado mensagens na rede Ethereum para quatro carteiras contendo grandes quantidades de cripto roubado, que vários especialistas em segurança começaram a ligar à República Popular Democrática da Coreia: “Estamos prontos para conversar.”

O chamado Reino Eremita não é exatamente conhecido por negociar com projetos dos quais seus hackers de elite desviam fundos, considerando que atores mal-intencionados ligados à Coreia do Norte fugiram com US$ 6,5 bilhões em cripto nos últimos anos, de acordo com a empresa de segurança blockchain Elliptic. 

Ainda assim, as mensagens indicaram que a verdadeira identidade de quem facilitou um dos maiores exploits em finanças descentralizadas até agora este ano pode ainda não ser realmente conhecida. Isso porque as mensagens se concentravam nos detalhes de descoberta associados às identidades dos atacantes.

“Informações críticas das partes relacionadas ao exploit foram identificadas”, diziam as mensagens on-chain enviadas pela equipe da Drift. “Para a comunidade, a Drift compartilhará mais atualizações assim que as atribuições de terceiros forem concluídas.”

Quando milhões de dólares em cripto são roubados de um projeto DeFi, as negociações on-chain são um curso de ação comum. Às vezes, funcionam. Há vários anos, alguém que roubou US$ 600 milhões da Poly Network “por diversão” devolveu os fundos após um longo diálogo, por exemplo. Muitas vezes, os atacantes ignoram qualquer contato e as ameaças legais associadas.

A probabilidade de ver os fundos da Drift serem devolvidos se hackers norte-coreanos estiverem envolvidos é zero, de acordo com Michael Egorov, fundador da exchange descentralizada Curve Finance.

“Eles nunca cooperam e não têm medo da aplicação da lei”, disse ele ao Decrypt.

No entanto, se os fundos não foram roubados por um grupo patrocinado pelo estado, então há uma chance de que sejam devolvidos, disse ele. Se as identidades dos atacantes forem reveladas, então ele disse que a “probabilidade de eles devolverem os fundos salta para quase 100%”.

Egorov observou que os traders de “valor máximo extraível” (MEV) podem ser uma exceção à regra. Com uma estratégia que se concentra essencialmente em antecipar as transações dos usuários para realizar negociações lucrativas, eles podem ocasionalmente se interpor entre hackers que tentam fugir com fundos.

“Quando o fazem, eles devolvem os fundos na maioria das vezes”, disse ele, acrescentando que às vezes retêm uma parte como recompensa ou deixam para os projetos decidirem.

A Drift sinalizou no início desta semana que o exploit, que afetou projetos em todo o ecossistema Solana que haviam construído dependências na exchange descentralizada, resultou de “engenharia social sofisticada”. Os atacantes conseguiram obter controle administrativo sobre a segurança da plataforma acessando duas chaves privadas.

A Elliptic apontou o comportamento on-chain dos atacantes e as metodologias de lavagem como fatores que os levaram a acreditar que hackers ligados à Coreia do Norte estavam envolvidos. Ainda assim, outros especialistas em segurança sugeriram que os atacantes podem ter tido algum grau de conhecimento interno.

Não está claro quem a Drift acredita que os hackers possam ser, nem se a exchange descentralizada está disposta a oferecer-lhes uma recompensa. No entanto, sua tentativa de recuperar fundos em nome próprio e dos usuários da DEX é pública para todos verem.

Decrypt entrou em contato com a Drift para comentários.

Alguém controlando uma carteira que detém US$ 200 em Ethereum não resistiu à oportunidade de se manifestar na sexta-feira. Em uma mensagem on-chain para a carteira da Drift, o indivíduo apostou que os atacantes poderiam “me enviar US$ 10 milhões para incomodar a equipe da Drift”.