O Drift Protocol publicou, a 8 de abril, no X, as mais recentes atualizações do acontecimento, indicando que, neste momento, está a trabalhar ativamente com os seus parceiros para formular um plano de recuperação plenamente coordenado e consistente. Nesta fase, o foco do trabalho é estabilizar a situação e proporcionar garantias a nível contratual para todos os utilizadores e parceiros afetados. Além disso, o Drift Protocol anunciou que vai participar no programa de segurança STRIDE, pertencente à Solana Foundation, e que publicará mais detalhes posteriormente.
Estado atual do plano de recuperação: estabilizar a situação é a prioridade máxima
O Drift Protocol enfatizou que a elaboração do plano de recuperação envolve uma coordenação multilateral entre parceiros, utilizadores afetados e entidades de cooperação do ecossistema. Atualmente, a prioridade é a “estabilização da situação”, para assegurar que os utilizadores afetados recebam garantias ao nível contratual, e para estudar planos de compensação e recuperação subsequentes.
A participação no programa STRIDE é uma componente importante do roteiro de reforço de segurança do Drift Protocol. A STRIDE é liderada pela Asymmetric Research e financiada pela Solana Foundation, oferecendo avaliações de segurança independentes, monitorização proativa de ameaças 24/7 (para contratos com TVL superior a 10 milhões de dólares) e serviços de verificação formal (para contratos com TVL superior a 100 milhões de dólares).
Reconstituição do ataque: pormenores das ações de infiltração de informação ao longo de seis meses
O ataque em causa não consistiu numa exploração tradicional de vulnerabilidades técnicas, mas sim numa ação composta que combina engenharia social e intrusão técnica. Os atacantes, disfarçados como “empresas de trading quantitativo interessadas na integração”, contactaram proactivamente os membros visados durante uma grande conferência do setor no outono do ano passado. Em seguida, foram criando confiança progressivamente através de encontros presenciais e comunicação no Telegram. Antes de executar o ataque, os atacantes chegaram até a depositar 1 milhão de dólares do seu próprio capital num cofre da plataforma para reforçar a credibilidade; após a conclusão da ação, desapareceram de imediato.
Caminho técnico das técnicas de ataque
Injeção de biblioteca de código malicioso: através de um caminho da cadeia de fornecimento, incorporar código malicioso no ambiente de desenvolvimento, para permitir execução silenciosa
Falsificação de aplicações: induzir contribuidores a descarregar e executar procedimentos maliciosos usando uma ferramenta com aparência legal
Exploração de vulnerabilidades em ferramentas de desenvolvimento: alcançar efeitos de execução de código silenciosa explorando pontos fracos no processo de desenvolvimento
Infiltração por engenharia social: usar um intermediário terceiro para executar encontros presenciais, contornando o risco de uma identificação direta da nacionalidade
O Drift Protocol indicou que as pessoas envolvidas no contacto presencial não são cidadãos da Coreia do Norte; normalmente, atores com este tipo de origem nacional executam missões de infiltração presencial através de intermediários terceiros.
Atribuição AppleJeus: pegadas de ataques digitais de uma organização de informação da Coreia do Norte
O Drift Protocol atribuiu o ataque com uma confiança média-alta à organização de ameaça AppleJeus (também conhecida como Citrine Sleet). A empresa de cibersegurança Mandiant já tinha associado previamente esta organização aos ataques informáticos de 2024 contra a Radiant Capital. Os responsáveis pela resposta ao incidente referiram que a análise on-chain e os padrões de sobreposição de identidades apontam para a participação de pessoas relacionadas com a Coreia do Norte, mas a Mandiant, neste momento, ainda não confirmou oficialmente esta atribuição.
Um responsável de estratégia de uma empresa de segurança de blockchain afirmou que os adversários enfrentados atualmente pelas equipas de criptomoeda parecem mais uma “organização de informações” do que hackers tradicionais. Além disso, este evento evidencia o problema de segurança central: não é o número de signatários das transações, mas sim a “falta de compreensão fundamental das intenções da transação”, levando a que os signatários sejam induzidos a aprovar operações maliciosas.
Aviso à indústria: o ecossistema DeFi poderá já ter sido amplamente infiltrado
Um investigador de segurança que participou nesta investigação disse que o ecossistema DeFi poderá já ter sido amplamente infiltrado por atores deste tipo, e sugeriu que as organizações relevantes poderão ter estado envolvidas durante muito tempo na influência de vários contratos. Esta afirmação implica que o ataque do Drift Protocol poderá não ser um caso isolado, mas sim parte de um conjunto de ações de infiltração persistentes e em maior escala, colocando o ecossistema de finanças descentralizadas sob uma pressão de reflexão fundamental sobre a sua arquitetura de defesa de segurança.
Perguntas frequentes
Como está a evolução do plano de recuperação do caso de 285 milhões de dólares roubados no Drift Protocol?
O Drift Protocol afirmou que está a trabalhar ativamente com os seus parceiros para formular um plano de recuperação coordenado e consistente. Nesta fase, a prioridade é estabilizar a situação e fornecer garantias a nível contratual para todos os utilizadores e parceiros afetados. Além disso, anunciou que vai participar no programa de segurança STRIDE, pertencente à Solana Foundation, e que os detalhes serão publicados mais tarde.
Como é que o Drift Protocol foi alvo de ataque?
Os atacantes disfarçaram-se como uma empresa de trading quantitativo. Durante seis meses, estabeleceram confiança através de encontros presenciais e infiltração por engenharia social. Em seguida, depositaram previamente 1 milhão de dólares em fundos reais para aumentar a credibilidade. Por fim, através de uma biblioteca de código malicioso, de aplicações falsificadas e da exploração de vulnerabilidades em ferramentas de desenvolvimento, implementaram execução silenciosa de código e roubaram aproximadamente 285 milhões de dólares.
A ligação entre este ataque e a organização de informações da Coreia do Norte já foi confirmada?
O Drift Protocol atribuiu o ataque com uma confiança média-alta à organização de ameaça AppleJeus. A análise on-chain e os padrões de sobreposição de identidades apontam para a participação de pessoas relacionadas com a Coreia do Norte. No entanto, a empresa de cibersegurança Mandiant, neste momento, ainda não confirmou oficialmente esta atribuição.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
