Uma operação de recolha de informações com a duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado da Coreia do Norte, de acordo com uma actualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025, numa grande conferência de criptomoeda, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se no Drift.
Eram tecnicamente fluentes, tinham currículos profissionais verificáveis e compreendiam como o protocolo funcionava, disse o Drift. Foi criado um grupo no Telegram e, o que se seguiu foram meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interacções que são típicas de como as empresas de trading fazem onboarding com protocolos DeFi.
Entre Dezembro de 2025 e Janeiro de 2026, o grupo integrou um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores do Drift encontraram-se cara a cara com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até Fevereiro e Março. Quando o ataque foi lançado a 1 de Abril, a relação já tinha quase meio ano.
A violação parece ter resultado de dois vectores.
Um segundo fez download de uma aplicação TestFlight, a plataforma da Apple para distribuir aplicações em pré-visualização que contorna a revisão de segurança da App Store, que o grupo apresentou como o seu produto de carteira.
No vector do repositório, o Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais usados no desenvolvimento de software, que a comunidade de segurança vinha sinalizando desde o final de 2025, onde bastava simplesmente abrir um ficheiro ou uma pasta no editor para executar silenciosamente código arbitrário sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes tinham tudo o que precisavam para obter as duas aprovações multisig que permitiram o ataque de nonce durável que a CoinDesk detalhou mais cedo esta semana. Essas transacções pré-assinadas ficaram dormentes durante mais de uma semana antes de serem executadas a 1 de Abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para UNC4736, um grupo ligado ao Estado da Coreia do Norte, também rastreado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personas conhecidas associadas ao DPRK.
As pessoas que pareceram em presença física nas conferências, no entanto, não eram nacionais da Coreia do Norte. Os actores de ameaça do DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, historais de emprego e redes profissionais concebidas para resistirem à diligência devida.
O Drift apelou a outros protocolos para auditarem os controlos de acesso e tratarem qualquer dispositivo que toque num multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação via multisig como o seu principal modelo de segurança.
Mas se os atacantes estiverem dispostos a despender seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a reunir-se com equipas presencialmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança está preparado para o detectar?
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O ministro da Defesa israelita afirma que retirar urânio enriquecido do Irão é uma condição prévia para pôr fim ao conflito
O ministro da Defesa israelita, Katz, anunciou que as ações militares de Israel, incluindo a “Guerra dos 12 Dias” contra o Irão em 2025, desmantelaram o programa nuclear do Irão. Os EUA e Israel exigem a remoção do urânio enriquecido como condição para cessar as operações militares na região.
GateNews6h atrás
O FMI reviu em baixa a previsão de crescimento económico mundial para 2026 para 3,1%, sendo os confrontos no Médio Oriente o principal factor de arrastamento
Notícias da Gate, mensagem, 14 de abril, o Fundo Monetário Internacional (FMI) publicou a sua mais recente edição do “World Economic Outlook”, revendo em baixa a previsão de crescimento da economia mundial para 2026 em 0,2 pontos percentuais, para 3,1%. O relatório aponta que o conflito no Médio Oriente já está a afetar de forma significativa o atual ritmo de crescimento da economia mundial. Se o conflito e os preços elevados do petróleo se prolongarem durante mais tempo, o crescimento da economia mundial este ano cairá para 2,5% ou até para valores inferiores.
GateNews8h atrás
Nauru nomeia o empresário de criptomoeda Dadvan Yousuf como Comissário do Comércio Internacional, para impulsionar a estratégia de activos digitais
Nauru nomeia o empresário de criptomoeda Dadvan Yousuf como Encarregado de Comércio Internacional, com o objetivo de promover a estratégia de ativos digitais, atrair investimentos globais, reforçar a colaboração com prestadores de serviços virtuais e empresas tecnológicas, e impulsionar Nauru para se tornar um centro de ativos virtuais.
GateNews11h atrás
Reuters: As delegações dos EUA e do Irão realizarão negociações no Paquistão mais tarde esta semana
Notícias da Gate News, a 14 de abril, segundo a Reuters, citando fontes, as delegações dos Estados Unidos e do Irão irão reunir-se para negociações mais tarde esta semana na capital paquistanesa, Islamabad.
GateNews14h atrás
Nigel Farage investe 2 milhões de libras em Bitcoin, tornando-se o primeiro deputado do Reino Unido a admitir publicamente que detém criptomoedas
O líder do Reform UK, Nigel Farage, comprou Bitcoin por cerca de 2 milhões de libras esterlinas, tornando-se o primeiro deputado em funções a divulgar publicamente um investimento nesta escala. Esta ação evidencia o apoio do seu partido às criptomoedas e poderá dar origem a debates sobre potenciais impactos na política cripto do Reino Unido e sobre conflitos de interesses. Farage realizou o investimento através do Stack BTC, reforçando a sua validação política e financeira em simultâneo.
MarketWhisper15h atrás
O setor bancário dos EUA põe em causa o relatório da Casa Branca sobre as rendibilidades das stablecoins, preocupando-se com o risco de saídas de depósitos
Os bancos dos EUA questionam o relatório sobre os rendimentos das stablecoins para a Casa Branca, afirmando que o relatório ignora o impacto das stablecoins na saída de depósitos, o que poderá levar ao aumento dos custos de financiamento e à redução do crédito local. Neste momento, as duas partes negoceiam um projeto de lei no Senado, e a proibição do pagamento de juros sobre stablecoins é o principal foco de disputa.
GateNews15h atrás
