O maior exploit DeFi do ano começou em um evento de networking com drinks gratuitos — o Drift Protocol revelou em 5 de abril que seu Apr. 1 hack foi resultado de uma operação de inteligência de seis meses, agora ligada, com confiança de médio a alta, a atores afiliados ao Estado norte-coreano.
Detalhes do ataque ao Drift Protocol
A infiltração began no outono de 2025, quando um grupo se passando por uma firma de trading quantitativo abordou contribuidores do Drift em uma grande conferência de cripto. Nos meses seguintes, eles se encontraram pessoalmente com membros da equipe em vários eventos do setor em diversos países.
Eles depositaram mais de US$ 1 milhão de capital próprio em um Ecosystem Vault.
Eles fizeram perguntas detalhadas sobre o produto ao longo de várias sessões de trabalho, construindo o que parecia ser uma operação de trading legítima dentro da infraestrutura do Drift.
Entre dezembro de 2025 e março de 2026, o grupo aprofundou seus laços por meio de integrações ao cofre e continuou os encontros presenciais em conferências. Os contribuidores não tinham motivo para suspeitar — no momento do exploit, o relacionamento já durava quase meio ano e incluía histórico profissional verificado, conversas técnicas substanciais e uma presença on-chain funcional.
Quando o ataque ocorreu em 1º de abril, os chats no Telegram do grupo e o software malicioso foram completamente apagados. A análise forense identificou duas vetores prováveis de intrusão: um repositório de código malicioso compartilhado sob o pretexto de implantar um frontend de cofre e um aplicativo TestFlight apresentado como o produto de carteira do grupo.
Uma vulnerabilidade conhecida nos editores VSCode e Cursor, sinalizada ativamente pela comunidade de segurança entre dezembro de 2025 e fevereiro de 2026, pode ter permitido execução silenciosa de código simplesmente ao abrir um arquivo.
Todas as funções restantes do protocolo foram congeladas e as carteiras comprometidas foram removidas do multisig. A Mandiant foi contratada para conduzir a investigação, e as carteiras dos atacantes foram sinalizadas em corretoras e operadores de ponte.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Suspeita de atores de ameaça norte-coreanos
Investigações conduzidas pela equipe SEALS 911 avaliaram, com confiança de médio a alta, que a operação foi realizada pelos mesmos atores de ameaça por trás do hack da Radiant Capital em outubro de 2024.
A Mandiant atribuiu anteriormente esse ataque ao grupo UNC4736, afiliado ao Estado norte-coreano e também rastreado como AppleJeus ou Citrine Sleet.
A conexão se baseia tanto em evidências on-chain quanto em padrões operacionais.
Fluxos de fundos usados para preparar e testar a operação no Drift remontam aos atacantes da Radiant, e as personas usadas ao longo da campanha se sobrepõem a atividades já conhecidas ligadas à RPDC. Notavelmente, os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos — sabe-se que atores de ameaça da RPDC nesse nível usam intermediários terceirizados para interações face a face.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline