O Drift Protocol (DRIFT) publicou uma atualização detalhada do incidente a 5 de abril, revelando que a exploração de 285 milhões de dólares a 1 de abril foi o resultado de uma operação de inteligência de seis meses atribuída a agentes apoiados pelo Estado norte-coreano.
A divulgação descreve um nível de engenharia social que vai muito além dos típicos golpes online de phishing ou recrutamento, envolvendo reuniões presenciais, implementação de capital real e meses de construção de confiança.
Uma Empresa de Negociação Falsa que Jogou a Longo Prazo
Segundo o Drift, um grupo que se apresentava como uma empresa de negociação quantitativa abordou pela primeira vez contribuidores numa grande conferência de cripto no outono de 2025.
Ao longo dos meses seguintes, estes indivíduos apareceram em múltiplos eventos em vários países, realizaram sessões de trabalho e mantiveram conversas contínuas no Telegram sobre integrações de vault.
Siga-nos no X para obter as últimas notícias assim que acontecem
Entre dezembro de 2025 e janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, depositou mais de 1 milhão de dólares em capital e participou em discussões detalhadas sobre produtos.
Em março, os contribuidores do Drift tinham-se encontrado com estes indivíduos presencialmente em múltiplas ocasiões.
Até especialistas em segurança Web consideram isto preocupante, com a investigadora Tay partilhando que inicialmente esperava um golpe típico de recrutamento, mas achou a profundidade da operação muito mais alarmante.
Como os Dispositivos Foram Comprometidos
O Drift identificou três vetores de ataque prováveis:
- Um contribuidor clonou um repositório de código que o grupo partilhou para um frontend de vault.
- Um segundo descarregou uma aplicação TestFlight apresentada como um produto de carteira.
- Para o vetor do repositório, o Drift apontou para uma vulnerabilidade conhecida do VSCode e Cursor que investigadores de segurança vinham sinalizando desde o final de 2025.
Essa falha permitiu que código arbitrário fosse executado silenciosamente no momento em que um ficheiro ou pasta era aberto no editor, sem qualquer interação do utilizador necessária.
Após a drenagem de 1 de abril, os atacantes apagaram todos os chats do Telegram e software malicioso. O Drift congelou desde então as funções restantes do protocolo e removeu carteiras comprometidas do multisig.
A equipa SEALS 911 avaliou com confiança média-alta que os mesmos agentes de ameaça realizaram o hack da Radiant Capital em outubro de 2024, que a Mandiant atribuiu ao UNC4736.
Fluxos de capital on-chain e sobreposições operacionais entre as duas campanhas apoiam essa conexão.
A Indústria Apela a uma Redefinição de Segurança
Armani Ferrante, um proeminente desenvolvedor da Solana, apelou a todas as equipas de cripto para pausarem os esforços de crescimento e auditarem toda a sua pilha de segurança.
O Drift observou que os indivíduos que apareceram pessoalmente não eram nacionais norte-coreanos. Agentes de ameaça da RPDC a este nível são conhecidos por implementar intermediários de terceiros para envolvimento presencial.
A Mandiant, que o Drift contratou para forense de dispositivos, ainda não atribuiu formalmente a exploração.
A divulgação serve como um aviso ao ecossistema mais amplo. O Drift instou as equipas a auditarem controlos de acesso, tratarem cada dispositivo que toca num multisig como um alvo potencial e contactarem o SEAL 911 se suspeitarem de segmentação semelhante.
O post Roubo de 285 Milhões de Dólares do Drift Protocol Começou com um Aperto de Mão e 6 Meses de Confiança apareceu primeiro no BeInCrypto.
Fonte: https://beincrypto.com/drift-north-korea-spy-operation-hack/
