Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Drift diz que exploração de US$ 270 milhões foi uma operação de inteligência norte-coreana de seis meses
Uma operação de inteligência de seis meses precedeu a exploração de US$ 270 milhões do Drift Protocol e foi realizada por um grupo afiliado ao Estado norte-coreano, de acordo com um relatório. atualização detalhada do incidente publicado pela equipe no início do domingo.
Os invasores fizeram contato pela primeira vez por volta do outono de 2025, em uma grande conferência de criptografia, apresentando-se como uma empresa de comércio quantitativo que buscava integração com o Drift.
Eles eram tecnicamente fluentes, tinham experiência profissional verificável e entendiam como o protocolo funcionava, disse Drift. Um grupo Telegram foi estabelecido e o que se seguiu foram meses de conversas substanciais sobre estratégias de negociação e integrações de cofres, interações que são padrão para a forma como as empresas de negociação embarcam nos protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, o grupo integrou um Ecosystem Vault on Drift, realizou várias sessões de trabalho com contribuidores, depositou mais de US$ 1 milhão de seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Os colaboradores do Drift encontraram-se pessoalmente com indivíduos do grupo em várias conferências importantes do setor em vários países durante fevereiro e março. Quando o ataque foi lançado, em 1º de abril, o relacionamento já tinha quase meio ano.
O compromisso parece ter surgido através de dois vetores.
Um segundo baixou um aplicativo TestFlight, a plataforma da Apple para distribuição de aplicativos de pré-lançamento que contorna a análise de segurança da App Store, que o grupo apresentou como seu produto de carteira.
Para o vetor de repositório, Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais usados no desenvolvimento de software, que a comunidade de segurança vinha sinalizando desde o final de 2025, onde simplesmente abrir um arquivo ou pasta no editor era suficiente para executar silenciosamente código arbitrário, sem nenhum aviso ou aviso de qualquer tipo.
Depois que os dispositivos foram comprometidos, os invasores tiveram o que precisavam para obter as duas aprovações multisig que permitiram o ataque nonce durável que o CoinDesk detalhou no início desta semana. Essas transações pré-assinadas ficaram inativas por mais de uma semana antes de serem executadas em 1º de abril, drenando US$ 270 milhões dos cofres do protocolo em menos de um minuto.
A atribuição aponta para UNC4736, um grupo afiliado ao estado norte-coreano também rastreado como AppleJeus ou Citrine Sleet, com base nos fluxos de fundos em cadeia que remontam aos atacantes da Radiant Capital e na sobreposição operacional com personalidades conhecidas ligadas à RPDC.
Contudo, os indivíduos que compareceram pessoalmente nas conferências não eram cidadãos norte-coreanos. Sabe-se que os agentes de ameaças da RPDC a este nível mobilizam intermediários terceiros com identidades totalmente construídas, históricos de emprego e redes profissionais construídas para resistir à devida diligência.
Drift instou outros protocolos a auditar os controles de acesso e tratar cada dispositivo que toca em um multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação multisig como o seu principal modelo de segurança.
Mas se os invasores estiverem dispostos a gastar seis meses e um milhão de dólares para construir uma presença legítima dentro de um ecossistema, reunir-se pessoalmente com as equipes, contribuir com capital real e esperar, a questão é qual modelo de segurança foi projetado para capturar isso.
