O que inicialmente parecia ser um exploit repentino foi agora revelado como uma operação de longo prazo altamente coordenada. O Drift Protocol divulgou que o hack de 270 milhões de dólares foi o resultado de uma campanha de infiltração de seis meses, alegadamente ligada a agentes vinculados ao estado norte-coreano.
Em vez de explorar uma simples vulnerabilidade, os atacantes construíram confiança lentamente, apresentando-se como uma firma legítima de negociação quantitativa e inserindo-se no ecossistema. A sua abordagem foi além do engano digital. Envolveram-se diretamente com contribuidores, participaram em conferências cripto e estabeleceram relações que pareciam credíveis em todos os níveis.
Este não foi um ataque rápido. Foi calculado, paciente e concebido para contornar não apenas defesas técnicas, mas também a confiança humana.
Primeiro Contacto Começa em Conferências Cripto
A operação terá começado no outono de 2025, quando os atacantes fizeram o primeiro contacto numa grande conferência cripto. Na altura, não havia sinais de alerta imediatos. O grupo apresentou-se como profissionais tecnicamente competentes com históricos verificáveis.
Falavam fluentemente a linguagem das DeFi / Finanças descentralizadas, demonstrando uma compreensão profunda da infraestrutura do Drift e dos mecanismos de negociação. Este nível de especialização ajudou-os a integrar-se perfeitamente com contribuidores e parceiros legítimos.
Pouco depois, a comunicação mudou para o Telegram, onde as discussões continuaram durante vários meses. Estas interações não foram apressadas nem suspeitas. Em vez disso, espelharam o ritmo de uma colaboração real, completa com discussões técnicas, contributos estratégicos e envolvimento contínuo.
Ao manter consistência e credibilidade, os atacantes construíram gradualmente confiança dentro da comunidade.
Construir Confiança Através de Capital e Colaboração
Em janeiro de 2026, o grupo levou o seu envolvimento ainda mais longe. Integraram com sucesso um Ecosystem Vault e começaram a participar em sessões de trabalho juntamente com contribuidores do Drift.
Crucialmente, também comprometeram capital real, depositando mais de 1 milhão de dólares dos seus próprios fundos no protocolo. Este movimento reforçou a sua legitimidade, sinalizando que tinham interesse no jogo.
Durante fevereiro e março, membros do Ecossistema Drift encontraram-se pessoalmente com estes indivíduos em vários países. Estas interações presenciais acrescentaram outra camada de confiança, tornando ainda menos provável que as suas intenções fossem questionadas.
Quando o ataque foi executado, a relação entre os atacantes e a comunidade tinha sido estabelecida durante quase seis meses. Foi um nível de infiltração raramente visto em exploits DeFi.
Execução do Ataque Aproveitou Pontos de Entrada Sofisticados
Quando o comprometimento finalmente ocorreu, veio através de dois vetores altamente direcionados.
O primeiro envolveu uma aplicação TestFlight maliciosa, apresentada como um produto de carteira legítimo. Isto permitiu aos atacantes ganhar acesso a dispositivos de contribuidores sob o pretexto de testar novas ferramentas.
O segundo vetor explorou uma vulnerabilidade conhecida em ambientes de desenvolvimento como VSCode e Cursor. Esta falha, sinalizada pela comunidade de segurança meses antes, permitiu a execução de código arbitrário simplesmente ao abrir um ficheiro.
Juntos, estes métodos permitiram aos atacantes comprometer dispositivos-chave sem desencadear suspeita imediata. Uma vez dentro, conseguiram aceder a fluxos de trabalho sensíveis e mecanismos de aprovação.
Esta fase da operação destaca uma mudança crítica nas estratégias de ataque. Em vez de visar contratos inteligentes / smart contracts diretamente, os atacantes estão cada vez mais a focar-se nas camadas humanas e de ferramentas que os rodeiam.
Fraquezas Multisig Expostas no Roubo Final
Com o acesso garantido, os atacantes passaram para a fase final: execução.
Obtiveram duas aprovações multisig, que foram então usadas para autorizar transações. Notavelmente, estas transações foram pré-assinadas e deixadas inativas durante mais de uma semana, evitando deteção imediata.
No dia 1 de abril, os atacantes agiram. Em menos de um minuto, aproximadamente 270 milhões de dólares foram drenados dos cofres do Drift.
A velocidade e precisão da execução deixaram pouco espaço para intervenção. Quando as transações foram reconhecidas, os fundos já tinham sido movidos.
O Drift alertou desde então que este incidente expõe fraquezas fundamentais em modelos de segurança baseados em multisig. Embora os sistemas multisig sejam concebidos para distribuir confiança, permanecem vulneráveis quando os próprios signatários são comprometidos.
Surgem Ligações a Agentes Estatais Norte-Coreanos
As investigações sobre o ataque ligaram a operação ao UNC4736, um grupo também conhecido como AppleJeus ou Citrine Sleet. Esta entidade está amplamente associada a operações cibernéticas norte-coreanas e tem sido conectada a exploits anteriores de alto perfil, incluindo o ataque Radiant Capital.
Curiosamente, os indivíduos que interagiram diretamente com contribuidores do Drift não foram identificados como nacionais norte-coreanos. Em vez disso, parecem ter sido intermediários terceiros, equipados com identidades cuidadosamente construídas concebidas para resistir ao escrutínio.
Esta abordagem em camadas torna a atribuição mais complexa enquanto aumenta a eficácia da operação. Ao separar os agentes no terreno da entidade coordenadora, os atacantes conseguiram manter legitimidade plausível durante toda a infiltração.
Um Alerta para Modelos de Segurança DeFi
O exploit do Drift está a forçar a indústria a confrontar uma realidade desconfortável. Os modelos de segurança tradicionais, focados em auditorias de código, vulnerabilidades de contratos inteligentes / smart contracts e proteções multisig, podem não ser suficientes para defender contra adversários dispostos a investir tempo, dinheiro e recursos humanos.
Se os atacantes podem passar seis meses a construir relações, mobilizar capital para ganhar confiança e encontrar-se fisicamente com equipas, a superfície de ataque estende-se muito além do código.
Isto levanta uma questão crítica para o Ecossistema DeFi: que tipo de estrutura de segurança pode detetar e prevenir este nível de infiltração?
Por agora, o incidente representa um dos exploits mais sofisticados baseados em engenharia social na história cripto. Sublinha a necessidade de uma abordagem mais holística à segurança, que tenha em conta o comportamento humano, processos operacionais e as linhas cada vez mais esbatidas entre interações online e offline.
À medida que os protocolos continuam a crescer e a atrair mais capital, os riscos só aumentarão. E como este caso mostra, a próxima geração de ataques pode não vir de carteiras anónimas, mas de parceiros de confiança sentados do outro lado da mesa.
Divulgação: Isto não é aconselhamento de negociação ou investimento. Faça sempre a sua própria pesquisa antes de comprar qualquer criptomoeda ou investir em quaisquer serviços.
Siga-nos no Twitter @nulltxnews para se manter atualizado com as últimas notícias sobre Cripto, NFT, IA, Cibersegurança, Computação Distribuída e Metaverse!
Fonte: https://nulltx.com/north-korea-linked-group-behind-270m-drift-hack-six-month-plot-revealed/
