A infiltração de uma organização norte-coreana no Drift já dura há mais de seis meses; utilizando engenharia social e o Durable Nonce, foram roubados cerca de 2,8 mil milhões de dólares em ativos, atingindo gravemente a confiança na segurança do DeFi.
Planeamento meticuloso que atravessou meio ano: de cumprimentos numa reunião a um assalto de 280M
No dia 1 de abril, que deveria ser um dia cheio de troças, o Drift Protocol, a principal bolsa de negociação de contratos perpétuos na cadeia Solana, sofreu um golpe devastador. Este ataque fez desaparecer de forma repentina cerca de 280 a 286 milhões de dólares em ativos dos utilizadores num espaço de apenas 10 segundos, estabelecendo o maior registo de um ataque informático no sector DeFi desde 2026.
- Notícias relacionadas: A plataforma DeFi Drift foi pirateada no Dia da Mentira! O hacker esvaziou ativos de 270 milhões de dólares, e a chave do administrador tornou-se uma falha
De acordo com o relatório de investigação divulgado posteriormente pela equipa do Drift, este incidente teve origem numa ação de “inteligência estruturada” que se vinha a preparar há mais de 6 meses e que tem antecedentes a nível estatal. As investigações preliminares indicam que esta ação tem fortes ligações à organização de ameaça da Coreia do Norte UNC4736 (também conhecida como AppleJeus ou Citrine Sleet), a qual lançou um ataque de 50 milhões de dólares contra a Radiant Capital em outubro de 2024. A operação de infiltração contra o Drift ignorou a pesquisa tradicional de vulnerabilidades de código e, em vez disso, recorreu a manipulação humana com uma precisão extremamente elevada, contornando múltiplas proteções como auditorias de código e carteiras de hardware.
Fonte da imagem: X/@DriftProtocol Relatório de investigação divulgado posteriormente pela equipa do Drift; este incidente teve origem numa ação de “inteligência estruturada” que se vinha a preparar há mais de 6 meses e que tem antecedentes a nível estatal
A estratégia do “agente-sombra” dos hackers norte-coreanos
Este esquema de longa duração começou numa grande conferência de criptomoedas em outubro de 2025. Na altura, vários indivíduos que se diziam representantes de empresas de trading quantitativo abordaram proactivamente os membros centrais do Drift, manifestando interesse em colaborar na integração do protocolo e na provisão de liquidez.
Ao longo dos seis meses seguintes, estes hackers demonstraram um nível muito elevado de profissionalismo e competências técnicas. Discutiram frequentemente estratégias de negociação com a equipa de desenvolvimento através de canais Telegram; e, entre dezembro de 2025 e janeiro de 2026, chegaram mesmo a implementar no Drift um “Ecossystem Vault” de funcionalidade completa e depositaram mais de 1 milhão de dólares em capital próprio para criar credibilidade.
É de notar que a equipa do Drift confirmou que as pessoas que apareceram no local da conferência não eram de nacionalidade norte-coreana, o que evidencia que os hackers da Coreia do Norte estão a empregar com frequência intermediários terceiros ou agentes com identidades perfeitamente adequadas para realizar engenharia social presencial. Este modelo de “plantio profundo” teve sucesso ao fazer a equipa do Drift baixar a guarda, encarando a ameaça latente como um parceiro de confiança a longo prazo.
Durable Nonce e vulnerabilidades nas ferramentas de desenvolvimento
Depois de estabelecerem uma confiança sólida, os atacantes começaram a executar o plano de intrusão final: infetar os dispositivos de trabalho dos programadores através da partilha de repositórios (Repo) de código malicioso ou do convite para instalarem uma versão de teste da aplicação (TestFlight). A investigação indica que os atacantes exploraram falhas de segurança graves existentes nas ferramentas de desenvolvimento da época, o VSCode e o Cursor: bastava que os programadores abrisse uma determinada pasta no editor para que o código malicioso fosse executado automaticamente, sem qualquer aviso.
Assim que conseguiram controlar os dispositivos de dois membros do Security Council, os hackers induziram-nos a assinar instruções de autorização com privilégios de gestão. Em seguida, tiraram partido de uma funcionalidade legítima da rede Solana chamada “Durable Nonces” para armazenar essas instruções de transação previamente assinadas na blockchain durante até uma semana, a fim de contornar a deteção.
Até 1 de abril, a armadilha foi totalmente fechada e os hackers executaram 31 transações de levantamento em apenas 10 segundos. Os ativos afetados foram extremamente abrangentes, incluindo tokens $JLP no valor de 155 milhões de dólares, bem como mais de 66,40 milhões de $USDC, 477 mil $WETH e outras várias categorias de ativos de referência, levando a que o valor total bloqueado do Drift (TVL) descesse abruptamente de 550 milhões de dólares para menos de 250 milhões de dólares; o preço do token nativo DRIFT também caiu mais de 98%.
Controvérsia sobre negligência civil e ameaça de IA, uma transformação forçada do exemplo de segurança no DeFi
Este incidente suscitou críticas intensas por parte dos meios jurídicos e técnicos. O advogado de criptomoedas Ariel Givner assinalou que as ações da equipa do Drift podem configurar “negligência civil”, uma vez que a equipa de desenvolvimento não conseguiu cumprir procedimentos básicos de segurança operacional, como guardar chaves assinadas em dispositivos físicos totalmente isolados (Air-gapped systems) e abrir ficheiros externos de origem desconhecida em dispositivos associados à gestão de permissões.
Fonte da imagem: X/@GivnerAriel O advogado de criptomoedas Ariel Givner afirma que as ações da equipa do Drift podem configurar “negligência civil”
Ao mesmo tempo, o diretor técnico da Ledger, Charles Guillemet, alertou que, com o desenvolvimento e a popularização das tecnologias de IA, o custo destas engenharias sociais sofisticadas está a aproximar-se de zero. A IA consegue gerar identidades falsas e documentação técnica altamente persuasivas, tornando as barreiras humanas cada vez mais frágeis. Neste momento, o Drift congelou todas as funcionalidades do protocolo e tentou negociar em cadeia com carteiras dos atacantes, mas a maioria das opiniões sobre a recuperação dos fundos é pessimista.
Este assalto deixou um aviso pesado para toda a indústria: quando os hackers já passaram a atacar a psicologia humana em vez da lógica do código, confiar apenas na governação de carteiras multi-assinatura já não consegue garantir a segurança dos ativos; reforçar a disciplina operacional e o isolamento em hardware é a única saída para prevenir ameaças de nível estatal.
Leitura adicional
Drift: de quem foi a culpa? Os hackers conseguiram transferir ativos entre cadeias sem congelar, e ZachXBT critica duramente o Circle por incompetência
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Será possível contornar as regras da FMA para comprar cripto com cartão? A OdinTing anuncia um serviço de compra de cripto com cartão de crédito dos EUA Wallet Pro
Os serviços OwlPay e Wallet Pro lançados pela App OdinThings usam tecnologia de stablecoins para realizar pagamentos transfronteiriços B2B e, em parceria com gigantes internacionais dos pagamentos, demonstram a sua ambição de expansão na área das fintech. Ao operar a partir do estrangeiro, a App OdinThings contorna as limitações de supervisão de Taiwan, oferecendo transações rápidas de activos virtuais; ao mesmo tempo, perante a nova Lei dos Serviços de Activos Virtuais, no futuro deverá tornar-se um modelo de referência para outras empresas estrangeiras entrarem no mercado de Taiwan.
CryptoCity8m atrás
Polymarket avalia projectos em fase inicial no ecossistema, combate transacções com informação privilegiada e comportamentos de manipulação de mercado
A Polymarket anunciou a realização de auditorias a alguns projectos de arranque ligados, alegadamente por utilizarem informações de contas suspeitas de negociação com base em informação privilegiada para orientar as operações dos utilizadores. Esta medida tem como objectivo reforçar a gestão de conformidade e responder às preocupações do público quanto ao risco de negociação com base em informação privilegiada.
GateNews10m atrás
Incentivar a inovação! Juiz dos EUA e da França proíbe o regulamento de mercados de previsão pelo estado do Arizona, suspendendo a acusação contra a Kalshi
Um tribunal distrital federal dos EUA decidiu proibir o estado do Arizona de processar a plataforma de mercados de previsão Kalshi ao abrigo da lei dos jogos, considerando que a Comissão de Negociação de Futuros de Mercadorias dos EUA tem jurisdição exclusiva. Esta decisão afecta a linha de fronteira entre as competências estaduais e federais na supervisão dos mercados financeiros, e a Kalshi insiste em que a sua actividade se enquadra em instrumentos financeiros e não em jogos de fortuna e azar tradicionais. As decisões dos estados sobre os mercados de previsão não são uniformes, e a família Trump também manifestou apoio aos mercados de previsão.
CryptoCity2h atrás
Contornar as regras da FSC para comprar cripto com cartão poderá ser possível? A Odin Online lança nos EUA um serviço de compra de cripto com cartão de crédito Wallet Pro
Os serviços OwlPay e Wallet Pro lançados pela Odinting utilizam tecnologia de stablecoins para concretizar pagamentos transfronteiriços B2B e, em parceria com gigantes internacionais dos pagamentos, demonstram a sua ambição de expansão no domínio das fintech. Ao operar no exterior, a Odinting contorna as limitações de regulação de Taiwan, oferecendo transações rápidas de activos virtuais e, ao mesmo tempo, enfrenta a nova Lei de Serviços de Activos Virtuais. No futuro, poderá tornar-se um modelo de referência para outras empresas estrangeiras que pretendam entrar no mercado de Taiwan.
CryptoCity3h atrás
Aplicação do ecossistema Solana Believe: o fundador foi acusado em Nova Iorque por alegado esquema de burlas “rug pull”
Notícias do Gate News, a 14 de abril, o fundador da aplicação no ecossistema Solana Believe, Pasternak, foi acusado num tribunal de Nova Iorque por alegadamente ter estado envolvido num esquema de fraude em forma de rug pull de criptomoedas. Este caso envolve o ecossistema da blockchain Solana e suspeita-se que esteja relacionado com prejuízos de vários milhões de dólares. Pasternak, enquanto responsável do projeto Believe, é acusado de ter utilizado o projeto para levar a cabo comportamentos fraudulentos, levando a que os investidores sofressem perdas económicas significativas. De momento, o processo está em apreciação e os detalhes relevantes ainda não foram totalmente divulgados.
GateNews5h atrás
Incentiva a inovação! Juízes dos EUA e da França proíbem a regulamentação dos mercados de previsão do estado do Arizona, suspendem o processo contra a Kalshi
O tribunal distrital federal dos EUA decidiu impedir que o estado do Arizona processe a plataforma de mercados de previsão Kalshi ao abrigo da lei sobre jogos, considerando que a Comissão de Valores Mobiliários e da Bolsa de Mercadorias dos EUA tem jurisdição exclusiva. Esta decisão afecta a linha divisória entre as competências estaduais e federais na supervisão dos mercados financeiros, enquanto a Kalshi insiste que o seu negócio se enquadra em produtos financeiros e não em jogos de azar tradicionais. As decisões dos vários estados sobre os mercados de previsão não são uniformes, e a família Trump também já manifestou apoio aos mercados de previsão.
CryptoCity5h atrás
