O maior exploit DeFi do ano começou em um evento de networking com drinks de cortesia — o Drift Protocol revelou em 5 de abril que o Apr. 1 hack foi resultado de uma operação de inteligência de seis meses agora ligada, com confiança média-alta, a atores afiliados ao Estado norte-coreano.
Detalhes do ataque ao Drift Protocol
A infiltração began no outono de 2025, quando um grupo se passando por uma firma de trading quantitativo abordou contribuidores do Drift em uma grande conferência de cripto. Nos meses seguintes, eles se encontraram pessoalmente com membros da equipe em vários eventos do setor em diversos países.
Eles depositaram mais de US$ 1 milhão de capital próprio em um Ecosystem Vault.
Eles fizeram perguntas detalhadas sobre o produto ao longo de várias sessões de trabalho, construindo o que parecia ser uma operação de trading legítima dentro da infraestrutura do Drift.
Entre dezembro de 2025 e março de 2026, o grupo aprofundou seus laços por meio de integrações com o cofre e continuou os encontros presenciais em conferências. Os contribuidores não tinham motivo para suspeitar — no momento do exploit, o relacionamento já durava quase meio ano e incluía históricos profissionais verificados, conversas técnicas substanciais e uma presença on-chain funcional.
Quando o ataque ocorreu em 1º de abril, os chats no Telegram do grupo e o software malicioso foram completamente apagados. A análise forense identificou dois vetores de intrusão prováveis: um repositório de código malicioso compartilhado sob o pretexto de implantar um frontend de cofre e um aplicativo TestFlight apresentado como o produto de carteira do grupo.
Uma vulnerabilidade conhecida nos editores VSCode e Cursor, sinalizada ativamente pela comunidade de segurança de dezembro de 2025 a fevereiro de 2026, pode ter permitido execução silenciosa de código simplesmente ao abrir um arquivo.
Todas as funções restantes do protocolo foram congeladas e as carteiras comprometidas foram removidas do multisig. A Mandiant foi contratada para a investigação, e as carteiras dos atacantes foram sinalizadas em corretoras e operadores de bridge.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Atores de ameaça norte-coreanos são suspeitos
Investigações conduzidas pela equipe SEALS 911 avaliaram com confiança média-alta que a operação foi executada pelos mesmos agentes de ameaça por trás do hack da Radiant Capital em outubro de 2024.
A Mandiant atribuiu anteriormente esse ataque ao UNC4736, um grupo afiliado ao Estado norte-coreano também rastreado como AppleJeus ou Citrine Sleet.
A conexão se baseia tanto em evidências on-chain quanto em padrões operacionais.
Os fluxos de fundos usados para preparar e testar a operação no Drift remontam aos atacantes da Radiant, e as personas utilizadas ao longo da campanha se sobrepõem a atividades já conhecidas ligadas à Coreia do Norte. Notavelmente, os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos — sabe-se que atores de ameaça da RPDC nesse nível usam intermediários terceiros para interações presenciais.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline