Uma operação de inteligência com duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado norte-coreano, segundo uma atualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025 numa grande conferência de cripto, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se com o Drift.
Tinham fluência técnica, perfis profissionais verificáveis e compreendiam como o protocolo funcionava, disse a Drift. Foi criado um grupo no Telegram e, a partir daí, sucederam-se meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interações que são padrão para as empresas de trading fazerem onboarding com protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, o grupo fez o onboarding de um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores da Drift encontraram-se presencialmente com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até fevereiro e março. Quando o ataque foi lançado a 1 de abril, a relação tinha quase meio ano.
A intrusão parece ter resultado de dois vetores.
Um segundo transferiu uma aplicação TestFlight, a plataforma da Apple para distribuir apps pré-lançamento que contornam a análise de segurança da App Store, a qual o grupo apresentou como o seu produto de carteira.
Quanto ao vetor do repositório, a Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais amplamente utilizados no desenvolvimento de software, que a comunidade de segurança vinha a assinalar desde o final de 2025, em que apenas abrir um ficheiro ou uma pasta no editor era suficiente para executar silenciosamente código arbitrário, sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes passaram a ter o que precisavam para obter as duas aprovações multisig que habilitaram o ataque de nonce duradouro que a CoinDesk detalhou anteriormente esta semana. Essas transações pré-assinadas ficaram inativas por mais de uma semana antes de serem executadas a 1 de abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para a UNC4736, um grupo ligado ao Estado norte-coreano também acompanhado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personalidades conhecidas associadas à DPRK.
As pessoas que apareceram pessoalmente nas conferências, contudo, não eram cidadãos norte-coreanos. Os atores de ameaça da DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, históricos de emprego e redes profissionais concebidas para resistir à diligência devida.
A Drift exortou outros protocolos a auditar os controlos de acesso e a tratar todos os dispositivos que interajam com um multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação por multisig como modelo de segurança principal.
Mas se os atacantes estão dispostos a passar seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a conhecer equipas pessoalmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança foi concebido para o detetar?
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
A situação no Oriente Médio dá uma virada: o petróleo cai, enquanto o Bitcoin sobe, e as ações dos EUA batem novas máximas
O Irã informou aos países do Golfo sua posição de encerrar a guerra; os preços do petróleo despencaram, enquanto BTC (Bitcoin) e ouro dispararam no curto prazo, e as ações dos EUA voltaram a bater recordes. Este artigo analisa em profundidade os mecanismos de transmissão pelos quais a mitigação dos riscos geopolíticos afeta cada classe de ativos.
GateInstantTrends8h atrás
Irã responde à proposta de paz do lado dos EUA: preço do petróleo cai perto de 2%, surge uma virada na guerra
A Axios informa que o Irã, por meio de mediação do Paquistão, respondeu oficialmente ao rascunho de acordo de paz após revisões dos EUA; o mercado de petróleo enfraqueceu rapidamente, com o petróleo futuro de Nova York caindo quase 2% para US$ 103,27, enquanto o Brent ficou em cerca de US$ 110,23. O episódio ocorre no mesmo momento em que termina o prazo da War Powers Resolution 60, em consonância com a declaração de Trump de que a guerra já teria terminado. O foco nos próximos passos é a resposta do Irã, o limiar para aprovação no Congresso e a posição de Trump; caso o cenário se acalme e o preço do petróleo recupere, isso pode afetar as expectativas de inflação e as políticas do Federal Reserve.
ChainNewsAbmedia9h atrás
Tether concede empréstimos ao truste familiar de Lutnick: senador democrata investiga ligações entre política e negócios
Warren e Wyden a Lutnick e Tether Ardoino, pedindo documentos relacionados a um empréstimo aos filhos de Lutnick no Dynasty Trust A. O empréstimo é garantido pelos ativos do trust e a contrapartida é em títulos conversíveis da Cantor Fitzgerald e opções de ações da Tether de 5%, com o timing em que a venda de participações da Lutnick para seus filhos é divulgada no dia seguinte. A principal dúvida é a origem dos recursos e se há envolvimento de supervisão do governo que afete o caso, criando um conflito de interesses. Se 5/13 não houver resposta, isso pode impactar a perspectiva para empresas listadas nos EUA e para a GENIUS Act.
ChainNewsAbmedia9h atrás
Rial do Irã atinge nova mínima recorde de 1.800.000 por US$ em 29 de abril, no meio das sanções dos EUA
De acordo com o secretário do Tesouro dos EUA, Scott Bessent, o rial do Irã atingiu uma mínima histórica de 1.800.000 por US$ 1 em 29 de abril de 2026, refletindo uma pressão econômica mais intensa decorrente das sanções dos EUA. A moeda depreciou significativamente desde o início de 2025, quando era negociada perto de 800.000 por dólar.
Bessent
GateNews10h atrás
Arbitrum DAO Vota Liberar 30.766 ETH para a DeFi United Após Ataque do Kelp DAO
De acordo com a The Block, o Arbitrum DAO está atualmente votando para liberar aproximadamente 30.766 ETH congelados pelo Arbitrum Security Council para a iniciativa DeFi United, que foi criada após o ataque ao Kelp DAO no início deste mês. Na primeira hora de votação, 16,9 milhões de tokens ARB foram enviados em
GateNews10h atrás
