A corretora descentralizada baseada na Solana, Drift Protocol, informou no domingo que o ataque que drenou aproximadamente US$ 285 milhões da plataforma foi uma operação de inteligência estruturada de seis meses por um grupo de ameaças afiliado ao estado da Coreia do Norte.
Os invasores usaram identidades profissionais forjadas, reuniões presenciais em conferências e ferramentas maliciosas de desenvolvedores para comprometer colaboradores antes de executar a drenagem, afirmou o protocolo em uma atualização detalhada do incidente.
“Equipes de criptomoedas estão agora enfrentando adversários que operam mais como unidades de inteligência do que como hackers, e a maioria das organizações não está estruturalmente preparada para esse nível de ameaça”, disse Michael Pearl, VP de Estratégia da Cyvers, uma empresa de segurança em blockchain, ao Decrypt.
A Drift afirmou que o grupo abordou colaboradores pela primeira vez em uma grande conferência de cripto no outono passado, apresentando-se como uma empresa de trading quantitativo buscando se integrar ao protocolo.
Ao longo de meses, o grupo construiu confiança por meio de reuniões presenciais, coordenação via Telegram, integrou um Ecosystem Vault na Drift e fez um depósito de US$ 1 milhão de capital próprio, apenas para desaparecer, com conversas e malware “completamente apagados” quando o ataque ocorreu.
A DEX disse que a intrusão pode ter envolvido um repositório de código malicioso, um aplicativo falso do TestFlight e uma vulnerabilidade no VSCode/Cursor que permitiu a execução silenciosa de código sem interação do usuário.
Leia também: Projeto da Solana perde R$ 1,3 bilhão no 2º maior ataque da rede
A Drift atribuiu o ataque com “confiança média-alta” ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet — o mesmo grupo afiliado ao estado da Coreia do Norte que a empresa de cibersegurança Mandiant vinculou ao ataque à Radiant Capital em 2024.
A Drift afirmou que os indivíduos que se encontraram com os colaboradores pessoalmente não eram cidadãos da Coreia do Norte, observando que atores ligados à RPDC (República Popular Democrática da Coreia) frequentemente dependem de intermediários terceirizados para “engajamento presencial”.
Fluxos de fundos on-chain e personas sobrepostas apontam para atores ligados à RPDC, de acordo com os respondedores de incidentes SEAL 911, embora a Mandiant ainda não tenha confirmado a atribuição aguardando a análise forense, observou a plataforma.
O pesquisador de segurança @tayvano_, um dos especialistas que a Drift creditou por assistência na identificação dos atores maliciosos, sugeriu que a exposição se estende muito além deste incidente.
Em um tweet, o especialista listou dezenas de protocolos DeFi, alegando que “trabalhadores de TI da RPDC construíram os protocolos que você conhece e ama, desde o ‘verão DeFi'”.
Implicações para a indústria
“A Drift e a Bybit destacam o mesmo padrão — os signatários não foram diretamente comprometidos no nível do protocolo, foram enganados para aprovar transações maliciosas”, observou Pearl. “A questão central não é o número de signatários, mas a falta de compreensão da intenção da transação.”
Ele disse que as carteiras multisignature, embora sejam uma melhoria em relação ao controle de chave única, agora criam uma falsa sensação de segurança, introduzindo “um paradoxo” onde a responsabilidade compartilhada diminui o escrutínio entre os signatários.
“A segurança deve mudar para a validação pré-transação no nível da blockchain, onde as transações são simuladas e verificadas independentemente antes da execução”, disse Pearl, acrescentando que, uma vez que os invasores controlam o que os usuários veem, a única defesa eficaz é validar o que uma transação realmente faz, independentemente da interface.
Sobre as ferramentas de desenvolvedor como superfície de ataque, Lavid disse que a premissa deve mudar desde a base.
“É preciso assumir que o endpoint está comprometido”, disse ele ao Decrypt, apontando para IDEs, repositórios de código, aplicativos móveis e ambientes de signatários como pontos de entrada cada vez mais comuns.
“Se essas ferramentas fundamentais são vulneráveis, qualquer coisa mostrada ao usuário — incluindo transações — pode ser manipulada”, disse o especialista, observando que isso “quebra fundamentalmente as premissas de segurança tradicionais”, deixando as equipes incapazes de confiar “na interface, no dispositivo ou mesmo no fluxo de assinatura”.
* Traduzido e editado com autorização do Decrypt.
Crédito sem burocracia de banco, sem impedimento de score! No MB, seus ativos digitais podem virar garantia para um crédito liberado em até 5 minutos, direto pelo app. Você mantém a sua estratégia enquanto organiza o que precisa, com pagamento único em até 12 meses e taxas a partir de 1,69% ao mês. Conheça agora!
