O maior exploit DeFi do ano começou em um evento de networking com drinks de cortesia — Drift Protocol revelou em 5 de abril que seu Apr. 1 hack foi resultado de uma operação de inteligência de seis meses agora ligada, com confiança média-alta, a atores afiliados ao Estado norte-coreano.
Detalhes do ataque ao Drift Protocol
A infiltração began no outono de 2025, quando um grupo que se passava por uma firma de trading quantitativo abordou colaboradores do Drift em uma grande conferência de cripto. Nos meses seguintes, eles se encontraram pessoalmente com membros da equipe em vários eventos do setor em diversos países.
Eles depositaram mais de US$ 1 milhão de capital próprio em um Ecosystem Vault.
Eles fizeram perguntas detalhadas sobre o produto em várias sessões de trabalho, construindo o que parecia ser uma operação de trading legítima dentro da infraestrutura do Drift.
Entre dezembro de 2025 e março de 2026, o grupo aprofundou seus laços por meio de integrações com o cofre e continuou os encontros presenciais em conferências. Os colaboradores não tinham motivo para desconfiança — quando o exploit ocorreu, o relacionamento já tinha quase meio ano e incluía históricos profissionais verificados, conversas técnicas substanciais e uma presença on-chain funcional.
Quando o ataque aconteceu em 1º de abril, os chats do grupo no Telegram e o software malicioso foram completamente apagados. A análise forense identificou dois vetores prováveis de intrusão: um repositório de código malicioso compartilhado sob o pretexto de implantação de um frontend de cofre, e um aplicativo TestFlight apresentado como o produto de carteira do grupo.
Uma vulnerabilidade conhecida nos editores VSCode e Cursor, sinalizada ativamente pela comunidade de segurança entre dezembro de 2025 e fevereiro de 2026, pode ter permitido execução silenciosa de código simplesmente ao abrir um arquivo.
Todas as demais funções do protocolo foram congeladas e as carteiras comprometidas foram removidas do multisig. A Mandiant foi contratada para conduzir a investigação, e as carteiras dos atacantes foram sinalizadas em corretoras e operadores de bridge.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Atores de ameaça norte-coreanos são suspeitos
Investigações conduzidas pela equipe SEALS 911 concluíram, com confiança média-alta, que a operação foi realizada pelos mesmos atores de ameaça responsáveis pelo ataque de outubro de 2024 à Radiant Capital.
A Mandiant atribuiu anteriormente esse ataque ao grupo UNC4736, afiliado ao Estado norte-coreano e também rastreado como AppleJeus ou Citrine Sleet.
A conexão se baseia tanto em evidências on-chain quanto em padrões operacionais.
Os fluxos de fundos usados para preparar e testar a operação contra o Drift remontam aos atacantes da Radiant, e as personas usadas ao longo da campanha se sobrepõem a atividades já conhecidas ligadas à RPDC. Notavelmente, os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos — sabe-se que, nesse nível, os atores de ameaça da RPDC usam intermediários terceirizados para interações face a face.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline