O maior exploit DeFi do ano começou em um evento de networking com drinks de cortesia — o Drift Protocol revelou em 5 de abril que seu Apr. 1 hack foi resultado de uma operação de inteligência de seis meses, agora vinculada, com confiança média‑alta, a agentes afiliados ao Estado norte‑coreano.
Detalhes do ataque ao Drift Protocol
A infiltração começou no outono de 2025, quando um grupo se passando por uma empresa de trading quantitativo abordou colaboradores do Drift em uma grande conferência de cripto. Nos meses seguintes, eles encontraram membros da equipe pessoalmente em vários eventos do setor, em diversos países.
Eles depositaram mais de US$ 1 milhão de capital próprio em um Ecosystem Vault.
Eles fizeram perguntas detalhadas sobre o produto ao longo de várias sessões de trabalho, construindo o que parecia ser uma operação de trading legítima dentro da infraestrutura do Drift.
Entre dezembro de 2025 e março de 2026, o grupo aprofundou seus laços por meio de integrações de vault e de encontros presenciais contínuos em conferências. Os colaboradores não tinham motivo para suspeitar — na época do exploit, o relacionamento já durava quase meio ano e incluía históricos profissionais verificados, conversas técnicas substanciais e uma presença on‑chain funcional.
Quando o ataque ocorreu em 1º de abril, os chats do grupo no Telegram e o software malicioso foram completamente apagados. A análise forense identificou dois vetores prováveis de intrusão: um repositório de código malicioso compartilhado sob o pretexto de implantar um frontend de vault e um aplicativo TestFlight apresentado como o produto de carteira do grupo.
Uma vulnerabilidade conhecida nos editores VSCode e Cursor, sinalizada ativamente pela comunidade de segurança entre dezembro de 2025 e fevereiro de 2026, pode ter permitido a execução silenciosa de código simplesmente ao abrir um arquivo.
Todas as funções restantes do protocolo foram congeladas e as carteiras comprometidas foram removidas do multisig. A Mandiant foi contratada para a investigação, e as carteiras dos invasores foram sinalizadas em corretoras e operadores de ponte.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Atores de ameaça norte‑coreanos suspeitos
Investigações conduzidas pela equipe SEALS 911 avaliaram, com confiança média‑alta, que a operação foi conduzida pelos mesmos agentes de ameaça responsáveis pelo hack da Radiant Capital em outubro de 2024.
A Mandiant atribuiu anteriormente esse ataque ao grupo UNC4736, afiliado ao Estado norte‑coreano e também rastreado como AppleJeus ou Citrine Sleet.
A conexão se baseia em evidências on‑chain e em padrões operacionais.
Os fluxos de fundos usados para preparar e testar a operação contra o Drift remontam aos invasores da Radiant, e as personas utilizadas ao longo da campanha se sobrepõem a atividades já conhecidas com ligação à RPDC. Notavelmente, os indivíduos que apareceram pessoalmente não eram cidadãos norte‑coreanos — sabe‑se que agentes de ameaça da RPDC nesse nível usam intermediários de terceiros para interações presenciais.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline