Uma operação de inteligência com duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado norte-coreano, segundo uma atualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025 numa grande conferência de cripto, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se com o Drift.
Tinham fluência técnica, perfis profissionais verificáveis e compreendiam como o protocolo funcionava, disse a Drift. Foi criado um grupo no Telegram e, a partir daí, sucederam-se meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interações que são padrão para as empresas de trading fazerem onboarding com protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, o grupo fez o onboarding de um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores da Drift encontraram-se presencialmente com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até fevereiro e março. Quando o ataque foi lançado a 1 de abril, a relação tinha quase meio ano.
A intrusão parece ter resultado de dois vetores.
Um segundo transferiu uma aplicação TestFlight, a plataforma da Apple para distribuir apps pré-lançamento que contornam a análise de segurança da App Store, a qual o grupo apresentou como o seu produto de carteira.
Quanto ao vetor do repositório, a Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais amplamente utilizados no desenvolvimento de software, que a comunidade de segurança vinha a assinalar desde o final de 2025, em que apenas abrir um ficheiro ou uma pasta no editor era suficiente para executar silenciosamente código arbitrário, sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes passaram a ter o que precisavam para obter as duas aprovações multisig que habilitaram o ataque de nonce duradouro que a CoinDesk detalhou anteriormente esta semana. Essas transações pré-assinadas ficaram inativas por mais de uma semana antes de serem executadas a 1 de abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para a UNC4736, um grupo ligado ao Estado norte-coreano também acompanhado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personalidades conhecidas associadas à DPRK.
As pessoas que apareceram pessoalmente nas conferências, contudo, não eram cidadãos norte-coreanos. Os atores de ameaça da DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, históricos de emprego e redes profissionais concebidas para resistir à diligência devida.
A Drift exortou outros protocolos a auditar os controlos de acesso e a tratar todos os dispositivos que interajam com um multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação por multisig como modelo de segurança principal.
Mas se os atacantes estão dispostos a passar seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a conhecer equipas pessoalmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança foi concebido para o detetar?
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Ethereum Foundation: programa Ketman identifica 100 agentes da Coreia do Norte em seis meses
Com base no relatório de revisão do programa ETH Rangers publicado pela Ethereum Foundation em 17 de abril de 2026 (quinta-feira), o programa Ketman, financiado pela Ethereum Foundation, identificou, dentro de um período de seis meses de financiamento, 100 profissionais de TI da Coreia do Norte que se infiltraram em organizações Web3 usando identidades falsas e entrou em contato com cerca de 53 projetos de criptomoedas, alertando que talvez tenham contratado agentes ativos da Coreia do Norte.
MarketWhisper1h atrás
O Tennessee pretende alocar 10% dos fundos estaduais em Bitcoin; audiência no Senado em 21 de abril
A Lei de Reservas Estratégicas de Bitcoin do estado do Tennessee (SB 2639) será submetida a uma audiência na Comissão de Finanças, Arrecadação e Aplicação de Recursos do Senado em 21 de abril (terça-feira da semana que vem). O projeto de lei foi apresentado pela senadora Kelly Roberts, já foi aprovado na Comissão de Comércio e Trabalho do Senado e agora segue para a Comissão de Finanças, responsável por supervisionar medidas de arrecadação e de gastos. Se aprovada, a secretária do Tesouro do Tennessee poderá alocar no máximo 10% dos fundos estaduais elegíveis em Bitcoin (BTC).
MarketWhisper2h atrás
Projeto de Lei da Reserva Estratégica de Bitcoin do Tennessee Avança para Audiência na Comissão de Finanças do Senado em 20 de abril
O Projeto de Lei da Reserva Estratégica de Bitcoin do Tennessee está avançando para uma audiência na Comissão de Finanças do Senado em 20 de abril, aproximando-se de uma possível promulgação em lei.
GateNews5h atrás
Circle Enfrenta Ação Coletiva por $230M USDC Não Bloqueado no Ataque ao Drift Protocol
A Circle enfrenta uma ação coletiva por não ter congelado $230 milhão em USDC roubado após o ataque ao Drift Protocol. Os autores alegam que os protocolos da Circle permitiram que os atacantes movessem e convertessem os fundos roubados sem intervenção, levantando preocupações sobre as responsabilidades da empresa no monitoramento de transferências entre cadeias.
GateNews5h atrás
Gate日報(4月17日):馬斯克X Money遇紐約加密監管障礙;Yuga Labs任命新CEO
比特幣(BTC)持平於74,920美元,以色列與黎巴嫩停火生效,川普稱伊朗同意不擁核。瑞穗銀行警告馬斯克的X Money可能受到紐約加密監管影響。Yuga Labs更換CEO,Greg Solano轉任董事會主席,Michael Figge接任。市場普遍樂觀,十年來最大比特幣購買潮出現,暗示價格可能向9萬美元邁進。
MarketWhisper5h atrás
Grinex é hackeada; suspende negociações por US$ 15 milhões, com acusações mirando “país hostil”
A exchange de criptomoedas Grinex, da Kyrgyzstão, suspendeu as negociações e os saques após sofrer um grande ataque cibernético e perdeu cerca de US$ 15 milhões em USDT. Os fundos roubados foram rapidamente convertidos para TRX e ETH para reduzir o risco de congelamento. Acredita-se que a Grinex seja a sucessora da exchange sancionada Garantex, tornando-se a principal plataforma de negociação de criptomoedas apoiadas pelo rublo. O comunicado sobre o ataque da Grinex aponta o evento para “atores de um país hostil”, mas não apresenta evidências específicas.
MarketWhisper6h atrás
