Uma operação de recolha de informações com a duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado da Coreia do Norte, de acordo com uma actualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025, numa grande conferência de criptomoeda, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se no Drift.
Eram tecnicamente fluentes, tinham currículos profissionais verificáveis e compreendiam como o protocolo funcionava, disse o Drift. Foi criado um grupo no Telegram e, o que se seguiu foram meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interacções que são típicas de como as empresas de trading fazem onboarding com protocolos DeFi.
Entre Dezembro de 2025 e Janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores do Drift encontraram-se cara a cara com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até Fevereiro e Março. Quando o ataque foi lançado a 1 de Abril, a relação já tinha quase meio ano.
A violação parece ter resultado de dois vectores.
Um segundo fez download de uma aplicação TestFlight, a plataforma da Apple para distribuir aplicações em pré-visualização que contorna a revisão de segurança da App Store, que o grupo apresentou como o seu produto de carteira.
No vector do repositório, o Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais usados no desenvolvimento de software, que a comunidade de segurança vinha sinalizando desde o final de 2025, onde bastava simplesmente abrir um ficheiro ou uma pasta no editor para executar silenciosamente código arbitrário sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes tinham tudo o que precisavam para obter as duas aprovações multisig que permitiram o ataque de nonce durável que a CoinDesk detalhou mais cedo esta semana. Essas transacções pré-assinadas ficaram dormentes durante mais de uma semana antes de serem executadas a 1 de Abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para UNC4736, um grupo ligado ao Estado da Coreia do Norte, também rastreado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personas conhecidas associadas ao DPRK.
As pessoas que pareceram em presença física nas conferências, no entanto, não eram nacionais da Coreia do Norte. Os actores de ameaça do DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, historais de emprego e redes profissionais concebidas para resistirem à diligência devida.
O Drift apelou a outros protocolos para auditarem os controlos de acesso e tratarem qualquer dispositivo que toque num multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação via multisig como o seu principal modelo de segurança.
Mas se os atacantes estiverem dispostos a despender seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a reunir-se com equipas presencialmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança está preparado para o detectar?
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
A posse de uma decisão sobre um ataque da Coreia do Norte leva à retenção de 71 milhões de dólares do Kelp DAO ETH: a “intervenção concentrada” na Arbitrum transforma-se num instrumento legal
O Tribunal Distrital Sul de Nova Iorque emitiu, a 1 de maio, uma ordem de arresto que proíbe, antes da audiência de divisão, a disposição de 30.766 ETH (cerca de 71 milhões de dólares), para o plano de compensação da DeFi United. A origem do ETH remonta ao incidente do ataque na ponte cross-chain KelpDAO em abril; após o congelamento pelo Comité de Segurança do Arbitrum, o montante foi integrado na governação da DAO. A compensação é financiada por angariações de fundos como a Aave. Os autores alegam que o hacker está ligado ao grupo norte-coreano Lazarus Group, e o tribunal ordenou que a decisão aguarde a audiência de divisão.
ChainNewsAbmedia47m atrás
O Banco Central do Brasil bloqueia a cripto em pagamentos transfronteiriços, definindo um prazo até 31 de maio de 2027
De acordo com o Banco Central do Brasil (BCB), a 30 de abril a autoridade publicou a Resolução BCB n.º 561, que proíbe os criptoativos de serem usados na liquidação no quadro de eFX regulamentado do país para pagamentos digitais transfronteiriços. A regra exige que os prestadores de eFX utilizem operações tradicionais de câmbio estrangeiro
GateNews4h atrás
Os EUA vão orientar a passagem de embarcações pelo Estreito de Ormuz, com o patamar de 80.000 do BTC ainda a ser um ponto de observação crucial
A situação no Médio Oriente mantém-se tensa; os EUA dizem que vão orientar os navios que não estão envolvidos no conflito a atravessar o Estreito de Ormuz, enquanto as negociações com o Irão foram descritas como “muito positivas”. A OPEC+ aumentou a produção em 188 mil barris, sem incluir a UAE, e o mercado do petróleo tem oscilado devido às mudanças na diplomacia e na oferta. O Bitcoin aproxima-se dos 80 mil, mas continua condicionado pela estrutura dos derivados de opções, dificultando uma ruptura; a ETH acompanha com ganhos. A procura por chips de IA está forte, com os resultados da Palantir e da AMD em destaque; o mercado está atento ao crescimento dos investimentos em IA e às perspectivas para as ações tecnológicas.
ChainNewsAbmedia6h atrás
Nobitex fundada pelos filhos de uma família iraniana de elite ligada a líderes supremos, conclui a Reuters
Numa investigação da Reuters publicada na sexta-feira, a Nobitex, a principal bolsa de criptomoedas do Irão, foi fundada pelos irmãos Ali e Mohammad Kharrazi, membros de uma família política de elite ligada por casamento a todos os três líderes supremos do Irão. Os irmãos registaram a empresa em 2018, juntamente com o CEO
GateNews6h atrás
Dennis Porter: os EUA encaram o Bitcoin como ferramenta de segurança nacional
Dennis Porter, fundador da Satoshi Action, explicou que o governo e o exército dos EUA estão a mudar a sua perspetiva sobre o Bitcoin, passando de um simples investimento financeiro para um componente crítico da defesa nacional. Segundo Porter, o Bitcoin é cada vez mais considerado um “segurança nacional
CryptoFrontier9h atrás
O Bitcoin rompe a marca dos 80.000 dólares no final do domingo, em alta de 2,6% à medida que persistem as tensões EUA-Irão
De acordo com a página de preços de cripto da The Block, o Bitcoin subiu acima de 80.000 dólares no final de domingo, ganhando 2,6% nas últimas 24 horas para 80.150 dólares às 11:40 p.m. ET. O Ether subiu 3,6% para 2.382 dólares, enquanto a XRP adicionou 2% para 1,41 dólares. Nick Ruck, diretor da LVRG Research, salientou que a subida do Bitcoin rompe uma resistência
GateNews9h atrás
