O ataque hacker de US$ 285 milhões ao Drift Protocol levou seis meses para ser planejado, afirma grupo norte-coreano.

1º de abril de 2026 explorar of SolanaO ataque ao protocolo Drift, baseado em [nome da plataforma/sistema], que drenou aproximadamente US$ 285 milhões da plataforma, não foi espontâneo. De acordo com o relatório preliminar da Drift. investigaçãoFoi o resultado de uma operação de inteligência estruturada que começou pelo menos seis meses antes, atribuída com um nível de confiança médio-alto ao UNC4736, um grupo de ameaças afiliado ao Estado norte-coreano, também conhecido como AppleJeus ou Citrine Sleet.

Como começou, de fato, o ataque ao protocolo Drift?

Segundo a equipe do Drift Protocol, a operação começou em uma grande conferência de criptomoedas no outono de 2025, onde indivíduos que se apresentavam como uma empresa de negociação quantitativa abordaram colaboradores do Drift. O que se seguiu não foi uma tentativa rápida de phishing. Foi uma campanha deliberada de construção de relacionamento, que durou meses, conduzida por meio de múltiplos encontros presenciais, em diversas conferências do setor e em vários países.

O grupo possuía domínio técnico, experiência profissional comprovada e demonstrou familiaridade detalhada com o funcionamento da Drift. Um grupo no Telegram foi criado após a primeira reunião, e discussões substanciais sobre estratégias de negociação e integrações com o cofre continuaram por meses. A equipe da Drift observou que essas interações eram totalmente consistentes com a forma como empresas de negociação legítimas normalmente interagem com o protocolo.

De dezembro de 2025 a janeiro de 2026, o grupo implementou um Ecosystem Vault na Drift. Esse processo envolveu o envio de detalhes da estratégia por meio de um formulário formal, a participação em diversas sessões de trabalho com colaboradores da Drift e o depósito de mais de US$ 1 milhão de capital próprio. Eles construíram uma presença operacional funcional dentro do protocolo, de forma deliberada e paciente.

Os últimos meses antes da exploração

As conversas sobre a integração continuaram durante fevereiro e março de 2026. Os colaboradores da Drift reencontraram pessoalmente alguns membros do grupo em importantes eventos do setor. Em abril, o relacionamento já durava quase seis meses. Não eram estranhos. Eram pessoas com quem a equipe da Drift já havia trabalhado e com quem havia se encontrado pessoalmente em diversas ocasiões.

Ao longo desse período, o grupo compartilhou links para projetos, ferramentas e aplicativos que afirmavam estar desenvolvendo. O compartilhamento desses recursos é uma prática comum em relações entre empresas comerciais, e foi justamente isso que tornou o processo um mecanismo de entrega eficaz.

Quais foram os vetores de ataque técnico?

Após o ataque de 1º de abril, a Drift realizou uma análise forense dos dispositivos, contas e históricos de comunicação afetados. Os chats do Telegram e o software malicioso usado pelo grupo foram completamente apagados no momento do ataque. A investigação da Drift identificou três vetores de intrusão prováveis:

• Um dos colaboradores pode ter sido comprometido após clonar um repositório de código compartilhado pelo grupo, apresentado como uma ferramenta de implantação de front-end para o seu cofre.
• Um segundo colaborador foi induzido a baixar um aplicativo TestFlight que o grupo descreveu como seu produto de carteira digital. O TestFlight é a plataforma da Apple para distribuir versões beta de aplicativos iOS antes de seu lançamento público.
• Para o vetor baseado em repositório, o mecanismo provável era uma vulnerabilidade conhecida nos editores de código VSCode e Cursor, que pesquisadores de segurança estavam ativamente sinalizando entre dezembro de 2025 e fevereiro de 2026. Abrir um arquivo, pasta ou repositório no editor afetado era suficiente para executar silenciosamente código arbitrário, sem qualquer aviso, solicitação de permissão ou indicação visível ao usuário.

A análise forense completa do hardware afetado ainda estava em andamento no momento da publicação.

Com que rapidez o ataque foi executado?

A preparação pode ter levado seis meses, mas a execução foi rápida. Assim que o controle administrativo do protocolo foi assumido, os fundos reais dos usuários foram drenados em menos de 12 minutos. O valor total bloqueado (TVL) do Drift caiu de aproximadamente US$ 550 milhões para menos de US$ 300 milhões em menos de uma hora. O token DRIFT desvalorizou mais de 40% durante o incidente. A empresa de segurança PeckShield confirmou que a perda total ultrapassou US$ 285 milhões, representando mais de 50% do TVL do protocolo na época.

Durante o caos, a equipe da Drift publicou uma mensagem no X para esclarecer que a situação era real, escrevendo: "Isto não é uma brincadeira de 1º de abril. Procedam com cautela até novo aviso." Todos os depósitos e saques foram suspensos enquanto a investigação era iniciada.

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

Para onde foram os 285 milhões de dólares?

O atacante agiu rapidamente para ocultar o rastro dos fundos após a exploração. Os ativos roubados foram convertidos em USDC e SOL, e então transferidos da Solana para a Ethereum usando o Protocolo de Transferência entre Cadeias (CCTP) da Circle. O CCTP é a infraestrutura de ponte nativa da Circle que permite a movimentação de USDC entre diferentes blockchains sem a necessidade de encapsulamento. Na Ethereum, os fundos foram convertidos em ETH. O rastreamento on-chain confirmou que o atacante acumulou, ao final, 129,066 ETH, o equivalente a aproximadamente US$ 273 milhões na época.

O atacante também depositou SOL tanto na HyperLiquid quanto na Binance, espalhando a atividade por várias plataformas para dificultar o rastreamento.

A Circle respondeu com rapidez suficiente?

O investigador on-chain ZachXBT criticou publicamente a Circle após a exploração, apontando que grandes quantidades de USDC roubado foram transferidas da Solana para a Ethereum durante o horário comercial dos EUA sem serem congeladas. ZachXBT contrastou isso com a recente decisão da Circle de congelar 16 carteiras online corporativas não relacionadas em um processo civil sigiloso nos EUA, argumentando que a Circle tinha tanto a capacidade técnica quanto um precedente claro para intervir, mas não agiu com rapidez suficiente para limitar os danos.

Quem está por trás do ataque?

Com um nível de confiança médio-alto, e apoiado por investigações conduzidas pela equipe SEALS 911, o inquérito da Drift atribui a operação aos mesmos agentes de ameaça responsáveis ​​pelo ataque cibernético à Radiant Capital em outubro de 2024. Esse ataque foi formalmente atribuído pela Mandiant ao UNC4736, um grupo afiliado ao Estado norte-coreano.

A base dessa conexão é tanto on-chain quanto operacional. Os fluxos de fundos usados ​​para planejar e testar a operação Drift remontam a carteiras vinculadas aos atacantes da Radiant. Além disso, as personas utilizadas ao longo da campanha Drift apresentam sobreposições identificáveis ​​com padrões de atividade conhecidos ligados à Coreia do Norte.

Um esclarecimento importante da equipe da Drift: os indivíduos que compareceram pessoalmente às conferências não eram cidadãos norte-coreanos. Nesse nível de operação, sabe-se que agentes de ameaças ligados à Coreia do Norte utilizam intermediários terceirizados para lidar com o estabelecimento de relacionamentos presenciais, mantendo os agentes reais à distância.

A Mandiant foi formalmente contratada para a investigação, mas ainda não emitiu uma atribuição oficial pela exploração da vulnerabilidade Drift. Essa determinação requer a conclusão da análise forense dos dispositivos, que ainda está em andamento.

Medidas de resposta atuais

Até o momento da publicação, a Drift tomou as seguintes medidas:

• Todas as funções restantes do protocolo foram congeladas.
• As carteiras comprometidas foram removidas da rede multisig.
• Carteiras de atacantes foram identificadas em diversas corretoras e operadoras de pontes.
• A Mandiant foi contratada como principal parceira forense.

A Drift afirmou que está compartilhando esses detalhes publicamente para que outras equipes do ecossistema possam entender como esse tipo de ataque realmente se apresenta e tomar medidas para se protegerem adequadamente.

Conclusão

O ataque ao Drift Protocol não é uma história sobre uma vulnerabilidade de código que passou despercebida em uma auditoria. É uma história sobre um engano humano prolongado. Os atacantes passaram seis meses construindo credibilidade por meio de reuniões presenciais, uma integração funcional do cofre e mais de US$ 1 milhão de capital próprio depositado, antes de executar um saque de US$ 285 milhões em apenas 12 minutos.

 Os vetores técnicos, um repositório de código malicioso e um aplicativo falso do TestFlight, foram eficazes precisamente porque a confiança necessária para abri-los já havia sido cuidadosamente construída. 

Para os protocolos DeFi, a lição é direta: a superfície de ataque não se limita aos contratos inteligentes. Ela inclui todos os dispositivos dos participantes, todos os repositórios de terceiros e todos os relacionamentos construídos em conferências do setor. O UNC4736 já demonstrou isso duas vezes, primeiro na Radiant Capital em outubro de 2024 e novamente na Drift em abril de 2026, com a mesma abordagem paciente e com recursos robustos em ambas as ocasiões.

Recursos

1. Protocolo de Deriva em XPostagem de 5º de março

2. PeckShield no X: Postagens (1 a 2 de abril)

3. Lookonchain no X: Postagens (1 a 2 de abril)