Uma operação de recolha de informações com a duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado da Coreia do Norte, de acordo com uma actualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025, numa grande conferência de criptomoeda, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se no Drift.
Eram tecnicamente fluentes, tinham currículos profissionais verificáveis e compreendiam como o protocolo funcionava, disse o Drift. Foi criado um grupo no Telegram e, o que se seguiu foram meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interacções que são típicas de como as empresas de trading fazem onboarding com protocolos DeFi.
Entre Dezembro de 2025 e Janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores do Drift encontraram-se cara a cara com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até Fevereiro e Março. Quando o ataque foi lançado a 1 de Abril, a relação já tinha quase meio ano.
A violação parece ter resultado de dois vectores.
Um segundo fez download de uma aplicação TestFlight, a plataforma da Apple para distribuir aplicações em pré-visualização que contorna a revisão de segurança da App Store, que o grupo apresentou como o seu produto de carteira.
No vector do repositório, o Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais usados no desenvolvimento de software, que a comunidade de segurança vinha sinalizando desde o final de 2025, onde bastava simplesmente abrir um ficheiro ou uma pasta no editor para executar silenciosamente código arbitrário sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes tinham tudo o que precisavam para obter as duas aprovações multisig que permitiram o ataque de nonce durável que a CoinDesk detalhou mais cedo esta semana. Essas transacções pré-assinadas ficaram dormentes durante mais de uma semana antes de serem executadas a 1 de Abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para UNC4736, um grupo ligado ao Estado da Coreia do Norte, também rastreado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personas conhecidas associadas ao DPRK.
As pessoas que pareceram em presença física nas conferências, no entanto, não eram nacionais da Coreia do Norte. Os actores de ameaça do DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, historais de emprego e redes profissionais concebidas para resistirem à diligência devida.
O Drift apelou a outros protocolos para auditarem os controlos de acesso e tratarem qualquer dispositivo que toque num multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação via multisig como o seu principal modelo de segurança.
Mas se os atacantes estiverem dispostos a despender seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a reunir-se com equipas presencialmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança está preparado para o detectar?
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
CEO da Zondacrypto desaparece com 4.500 chaves privadas de Bitcoin em 5 de maio; CEO atual foge para Israel
De acordo com a BlockBeats, em 5 de maio, o ex-CEO da exchange polonesa de criptomoedas Zondacrypto desapareceu em 2022 com as chaves privadas de uma carteira fria que continha 4.500 BTC (atualmente no valor de mais de US$ 340 milhões). O atual CEO admitiu que a carteira agora está inacessível e, segundo relatos, fugiu para Israel.
GateNews1h atrás
A tensão no Oriente Médio está se intensificando, as ações dos EUA caíram do seu pico e o Bitcoin se mantém estável na faixa dos 80 mil.
A escalada da tensão no Oriente Médio impulsionou os preços do petróleo e puxou o desempenho do mercado de ações dos EUA para baixo em relação ao topo; o Bitcoin rompeu ontem US$ 80 mil, chegando a US$ 80.776, e as opções de compra de 80 mil na Deribit tiveram um aumento acentuado no open interest, indicando que os fundos estão apostando em alta de preço até o fim do mês. O ETF registrou entrada líquida de US$ 630 milhões nesta semana; o mercado segue otimista quanto a avanços nos termos de remuneração vinculados a stablecoins e acompanha movimentações relacionadas ao CLARITY Act.
ChainNewsAbmedia4h atrás
Famílias buscam ETH Arbitrum congelado para vítimas da Coreia do Norte
Famílias que detêm decisões judiciais antigas, de décadas, contra a Coreia do Norte estão tentando apreender 30.765 ETH congelados na Arbitrum após o exploit de rsETH do mês passado. As famílias invocaram uma notificação de restrição de Nova York na tentativa de impedir que a Arbitrum libere os fundos, citando supostas ligações entre o ator
CryptoFrontier7h atrás
Coreia do Norte nega roubo de criptomoedas, já que $577M foi roubado em 2026
A República Popular Democrática da Coreia negou acusações de roubo de criptomoedas patrocinado pelo Estado, mesmo depois que a empresa de inteligência blockchain TRM Labs informou que atores ligados à DPRK roubaram aproximadamente US$ 577 milhões nos primeiros quatro meses de 2026. Um porta-voz do Ministério das Relações Exteriores do regime
CryptoFrontier14h atrás
Bitcoin reverte de máxima de US$ 80.594 para US$ 79.000 após relatório de míssil do Irã; petróleo dispara 5%
De acordo com a agência de notícias Fars, do Irã, dois mísseis atingiram hoje um navio de guerra dos EUA, provocando uma forte reversão no Bitcoin, que saiu da máxima de US$ 80.594 para cerca de US$ 79.000. O petróleo disparou 5% com a notícia antes de os EUA negarem a alegação. Ethereum, Solana e Dogecoin caíram acentuadamente junto com o indicador mais amplo
GateNews15h atrás
Secretário do Tesouro dos EUA, Bessent: a oferta global de petróleo estará “bem abastecida” diante de uma lacuna diária de 8 milhões a 10 milhões de barris
De acordo com o secretário do Tesouro dos EUA, Bessent, em 4 de maio, os Estados Unidos controlam o Estreito de Ormuz, e a oferta global de petróleo estará “muito bem abastecida” apesar dos conflitos atuais. Bessent afirmou que o déficit global de petróleo causado pelo conflito em curso é de aproximadamente 8 milhões a 10 milhões de barris por
GateNews18h atrás
