Uma operação de inteligência com duração de seis meses precedeu o exploit de $270 milhões do Drift Protocol e foi levada a cabo por um grupo ligado ao Estado norte-coreano, segundo uma atualização detalhada do incidente publicada pela equipa mais cedo no domingo.
Os atacantes estabeleceram primeiro contacto por volta do outono de 2025 numa grande conferência de cripto, apresentando-se como uma empresa de trading quantitativo que pretendia integrar-se com o Drift.
Tinham fluência técnica, perfis profissionais verificáveis e compreendiam como o protocolo funcionava, disse a Drift. Foi criado um grupo no Telegram e, a partir daí, sucederam-se meses de conversas substanciais sobre estratégias de trading e integrações de vaults, interações que são padrão para as empresas de trading fazerem onboarding com protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, o grupo fez o onboarding de um Ecosystem Vault no Drift, realizou múltiplas sessões de trabalho com contribuidores, depositou mais de $1 milhão do seu próprio capital e construiu uma presença operacional funcional dentro do ecossistema.
Contribuidores da Drift encontraram-se presencialmente com indivíduos do grupo em várias conferências importantes da indústria, em vários países, até fevereiro e março. Quando o ataque foi lançado a 1 de abril, a relação tinha quase meio ano.
A intrusão parece ter resultado de dois vetores.
Um segundo transferiu uma aplicação TestFlight, a plataforma da Apple para distribuir apps pré-lançamento que contornam a análise de segurança da App Store, a qual o grupo apresentou como o seu produto de carteira.
Quanto ao vetor do repositório, a Drift apontou para uma vulnerabilidade conhecida no VSCode e no Cursor, dois dos editores de código mais amplamente utilizados no desenvolvimento de software, que a comunidade de segurança vinha a assinalar desde o final de 2025, em que apenas abrir um ficheiro ou uma pasta no editor era suficiente para executar silenciosamente código arbitrário, sem qualquer prompt ou aviso de qualquer tipo.
Uma vez os dispositivos comprometidos, os atacantes passaram a ter o que precisavam para obter as duas aprovações multisig que habilitaram o ataque de nonce duradouro que a CoinDesk detalhou anteriormente esta semana. Essas transações pré-assinadas ficaram inativas por mais de uma semana antes de serem executadas a 1 de abril, drenando $270 milhões dos vaults do protocolo em menos de um minuto.
A atribuição aponta para a UNC4736, um grupo ligado ao Estado norte-coreano também acompanhado como AppleJeus ou Citrine Sleet, com base tanto em fluxos de fundos on-chain que remontam aos atacantes do Radiant Capital como em sobreposição operacional com personalidades conhecidas associadas à DPRK.
As pessoas que apareceram pessoalmente nas conferências, contudo, não eram cidadãos norte-coreanos. Os atores de ameaça da DPRK neste nível são conhecidos por recorrer a intermediários terceiros com identidades totalmente construídas, históricos de emprego e redes profissionais concebidas para resistir à diligência devida.
A Drift exortou outros protocolos a auditar os controlos de acesso e a tratar todos os dispositivos que interajam com um multisig como um alvo potencial. A implicação mais ampla é desconfortável para uma indústria que depende da governação por multisig como modelo de segurança principal.
Mas se os atacantes estão dispostos a passar seis meses e um milhão de dólares a construir uma presença legítima dentro de um ecossistema, a conhecer equipas pessoalmente, a contribuir com capital real e a esperar, então a questão é: que modelo de segurança foi concebido para o detetar?
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O património líquido de Trump dispara 60% para 6,3 mil milhões de dólares, a expansão empresarial gera controvérsia sobre conflitos de interesses
A riqueza líquida estimada de Trump é de 6,3 mil milhões de dólares, tendo aumentado cerca de 60% antes do seu regresso à Casa Branca. Este crescimento deve-se principalmente à expansão da sua família em transações imobiliárias no estrangeiro e no setor das criptomoedas. Especialistas em ética governamental manifestaram preocupações, afirmando que poderá haver um conflito de interesses. A Casa Branca e o Grupo Trump negam este tipo de alegações.
GateNews20m atrás
O Citigroup eleva a classificação das ações dos EUA para “manter”, preferindo ações defensivas
Notícias do Gate News, a 14 de abril, os estrategistas do Citigroup aumentaram a avaliação das bolsas de valores dos EUA de “neutro” para “comprar”, alinhando-se com a postura de outros analistas de Wall Street. A Citi afirma que a crescente incerteza da situação de guerra tem levado os investidores a preferirem empresas com maior qualidade e maior capacidade defensiva. Com base no princípio do “ajuste para empresas de qualidade/defensivas”, a Citi procedeu a ajustamentos na alocação de ativos globais. Além disso, a Citi reduziu a avaliação das ações dos mercados emergentes de “comprar” para “neutro”, justificando que estes mercados são mais suscetíveis a choques energéticos e que o fortalecimento do dólar lhes cria pressão.
GateNews35m atrás
Embaixador do Irão na Índia: os petroleiros indianos não pagaram as taxas de passagem pelo Estreito de Ormuz ao Irão
O embaixador iraniano na Índia, FatahalI, afirmou que os petroleiros indianos que atravessam o Estreito de Ormuz não pagaram as taxas de passagem ao Irão, e que o Governo da Índia também nega ter pago qualquer quantia. Desde o início da guerra no Irão, o Irão bloqueou esta rota, e atualmente ainda há 15 navios de bandeira indiana presos no Golfo Pérsico.
GateNews2h atrás
O CEO do JPMorgan, Dimon, alerta: a guerra no Irão pode reacender-se, e a taxa de juro da Reserva Federal pode manter-se elevada por mais tempo
O CEO da JPMorgan, Jamie Dimon, alertou, na sua carta anual aos acionistas, que uma guerra com o Irão poderá provocar choques persistentes nos preços do petróleo e das matérias-primas, aumentando a pressão inflacionista para além do que o mercado antecipa, e que a Reserva Federal poderá ter de manter taxas de juro elevadas durante mais tempo. Referiu também que os efeitos da guerra se fazem sentir de forma abrangente na economia, incluindo a reorganização das cadeias de abastecimento globais e a subida dos preços da energia. Além disso, a Dimon mantém uma visão positiva sobre a economia dos EUA, mas advertiu que os choques económicos da guerra poderão enfraquecer essa resiliência.
ChainNewsAbmedia2h atrás
Vice-presidente dos EUA, Vance: os EUA retiraram-se das negociações EUA-Irão devido a falta de autorização por parte dos representantes do Irão
O vice-presidente dos EUA, Vance, revelou a razão do impasse nas negociações nucleares entre os EUA e o Irão, afirmando que a parte norte-americana saiu do processo de negociações devido à falta de autorização para o efeito por parte dos representantes iranianos. Vance sublinhou que Trump está disposto a normalizar as relações entre os EUA e o Irão, mas com a condição de que o Irão não procure armas nucleares e não apoie o terrorismo, e que os progressos futuros nas negociações dependem da aprovação da liderança de Teerão.
GateNews3h atrás
As ações dos EUA recuperaram as perdas desde a Guerra do Irão, e o Bitcoin subiu para 74K
Devido às expectativas do mercado de um acordo entre os EUA e o Irão, o índice S&P 500 recuperou para o nível mais alto desde a guerra, e o Bitcoin também acelerou fortemente até aos 74 900 dólares. Apesar de as negociações de paz entre EUA e Irão não terem dado em nada, os EUA implementaram um bloqueio marítimo para pressionar o Irão. A MicroStrategy voltou a fazer uma compra em grande escala de Bitcoin, mostrando uma retoma da confiança dos investidores.
ChainNewsAbmedia4h atrás
