Uma operação de recolha de informações com a duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado da Coreia do Norte, de acordo com uma actualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025, numa grande conferência de criptomoeda, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se no Drift.
Eram tecnicamente fluentes, tinham currículos profissionais verificáveis e compreendiam como o protocolo funcionava, disse o Drift. Foi criado um grupo no Telegram e, o que se seguiu foram meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interacções que são típicas de como as empresas de trading fazem onboarding com protocolos DeFi.
Entre Dezembro de 2025 e Janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores do Drift encontraram-se cara a cara com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até Fevereiro e Março. Quando o ataque foi lançado a 1 de Abril, a relação já tinha quase meio ano.
A violação parece ter resultado de dois vectores.
Um segundo fez download de uma aplicação TestFlight, a plataforma da Apple para distribuir aplicações em pré-visualização que contorna a revisão de segurança da App Store, que o grupo apresentou como o seu produto de carteira.
No vector do repositório, o Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais usados no desenvolvimento de software, que a comunidade de segurança vinha sinalizando desde o final de 2025, onde bastava simplesmente abrir um ficheiro ou uma pasta no editor para executar silenciosamente código arbitrário sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes tinham tudo o que precisavam para obter as duas aprovações multisig que permitiram o ataque de nonce durável que a CoinDesk detalhou mais cedo esta semana. Essas transacções pré-assinadas ficaram dormentes durante mais de uma semana antes de serem executadas a 1 de Abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para UNC4736, um grupo ligado ao Estado da Coreia do Norte, também rastreado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personas conhecidas associadas ao DPRK.
As pessoas que pareceram em presença física nas conferências, no entanto, não eram nacionais da Coreia do Norte. Os actores de ameaça do DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, historais de emprego e redes profissionais concebidas para resistirem à diligência devida.
O Drift apelou a outros protocolos para auditarem os controlos de acesso e tratarem qualquer dispositivo que toque num multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação via multisig como o seu principal modelo de segurança.
Mas se os atacantes estiverem dispostos a despender seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a reunir-se com equipas presencialmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança está preparado para o detectar?
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
CEO da Zondacrypto desaparece a 5 de maio levando 4.500 chaves privadas de Bitcoin; CEO atual foge para Israel
De acordo com a BlockBeats, a 5 de maio, o antigo CEO da bolsa polaca de criptomoedas Zondacrypto desapareceu em 2022, levando consigo as chaves privadas de uma carteira fria que continha 4.500 BTC (atualmente no valor de mais de 340 milhões de dólares). O atual CEO admitiu que a carteira já não é acessível e, segundo foi noticiado, terá fugido para Israel.
GateNews26m atrás
Aumenta a tensão no Médio Oriente, as bolsas dos EUA recuam a partir dos máximos e o Bitcoin mantém-se estável na zona dos 80 mil
A escalada da situação no Médio Oriente impulsionou a subida dos preços do petróleo e levou as bolsas dos EUA a recuarem face aos máximos; ontem, o Bitcoin ultrapassou os 80 mil dólares, atingindo um máximo de 80.776 dólares. As opções de compra de 80 mil na Deribit com posições em aberto aumentaram de forma notável, mostrando que os fundos estão a apostar numa subida do preço ao longo do próximo mês. Os ETFs registaram uma entrada líquida de 630 milhões de dólares esta semana. O mercado mantém-se optimista quanto a acordos para condições de rendimento em stablecoins e há também desenvolvimentos relacionados com o CLARITY Act.
ChainNewsAbmedia3h atrás
Famílias procuram ETH de Arbitrum congelado para vítimas da Coreia do Norte
As famílias que detêm, há décadas, decisões judiciais contra a Coreia do Norte estão a tentar apreender 30.765 ETH congelados no Arbitrum, na sequência do exploit rsETH do mês passado. As famílias invocaram uma ordem de restrição de Nova Iorque na tentativa de impedir o Arbitrum de libertar os fundos, citando ligações alegadas entre o att
CryptoFrontier5h atrás
A Coreia do Norte nega o roubo de criptomoedas, apesar de $577M ter sido furtado em 2026
A República Popular Democrática da Coreia negou as alegações de roubos de criptomoedas patrocinados pelo Estado, mesmo depois de a empresa de inteligência de blockchain TRM Labs ter comunicado que atores ligados à DPRK roubaram aproximadamente 577 milhões de dólares nos primeiros quatro meses de 2026. Um porta-voz do Ministério dos Negócios Estrangeiros do regime
CryptoFrontier13h atrás
O Bitcoin reverteu a partir do máximo de 80.594$ para 79.000$ após relatório de mísseis do Irão; o petróleo dispara 5%
Segundo a agência de notícias Fars do Irão, dois mísseis atingiram hoje um navio de guerra dos EUA, desencadeando uma inversão acentuada do Bitcoin, que passou do seu máximo de 80.594 dólares para cerca de 79.000. Os preços do petróleo dispararam 5% com a notícia antes de os EUA negarem a alegação. O Ethereum, a Solana e o Dogecoin desceram acentuadamente, juntamente com a média do mercado mais ampla
GateNews14h atrás
Secretário do Tesouro dos EUA, Bessent: o fornecimento global de petróleo será “muito bem abastecido” face a uma falha diária de 8M–10M barris
De acordo com o secretário do Tesouro dos EUA Bessent, em 4 de maio, os Estados Unidos controlam o Estreito de Ormuz, e o abastecimento global de petróleo estará «muito bem abastecido» apesar dos conflitos atuais. Bessent afirmou que o défice global de petróleo causado pelo conflito em curso é aproximadamente de 8 milhões a 10 milhões de barris por
GateNews17h atrás
