Sun, 12 Apr 2026
← BackDrift Protocol, a Solana-based DEX, suffered a $280M crypto theft linked to North Korean-backed hackers. The attack involved months of planning and targeted collaboration.
A Drift Protocol, exchange descentralizada construída sobre a blockchain Solana, publicou em 5 de abril de 2026 uma atualização detalhada sobre o ataque contra ela, ocorrido em 1º de abril de 2026, durante o qual hackers supostamente apoiados pelo governo da Coreia do Norte teriam roubado criptomoedas em valor que equivale a US$ 280 milhões. A publicação oficial descreve uma “operação de inteligência estruturada” que exigiu apoio organizacional, recursos significativos e meses de preparação deliberada. Segundo a investigação preliminar, último trimestre de 2025, colaboradores da Drift foram abordados por um grupo em uma grande conferência de criptomoedas. Os indivíduos se apresentavam como uma empresa de negociação quantitativa interessada em se integrar ao protocolo.
Eles eram tecnicamente fluentes, tinham antecedentes profissionais verificáveis e estavam familiarizados com a operação da Drift. De dezembro de 2025 a janeiro de 2026, o grupo integrou um “Ecosystem Vault” na Drift, depositou mais de US$ 1 milhão de seu próprio capital e participou de múltiplas sessões de trabalho. As conversas de integração continuaram até fevereiro e março de 2026, com encontros presenciais em vários eventos do setor. Mecanismos de infiltração A investigação da Drift identificou três possíveis vetores de ataque: Um colaborador pode ter sido comprometido após clonar um repositório de código compartilhado pelo grupo, sob o pretexto de implantar um frontend para seu vault.
Um segundo colaborador foi induzido a baixar um aplicativo TestFlight apresentado como um produto de carteira. Para o vetor baseado em repositório, uma possibilidade é uma vulnerabilidade conhecida no VSCode e Cursor, que a comunidade de segurança vinha alertando ativamente entre dezembro de 2025 e fevereiro de 2026. Em um post na plataforma X, um usuário explicou que a Coreia do Norte (DPRK) começou a abusar de hooks do VS Code que são executados automaticamente em segundo plano quando uma pasta é aberta, sem exigir interação do usuário após confiar no repositório. Status atual e resposta Todos os protocolos restantes foram congelados e as carteiras comprometidas foram removidas do multisig.
As carteiras dos atacantes foram sinalizadas em exchanges e operadores de ponte. A empresa de resposta a incidentes Mandiant foi contratada para a investigação. Atribuição à Coreia do Norte Com confiança média-alta apoiada por investigações da equipe SEALS 911, a operação foi atribuída aos mesmos agentes de ameaça responsáveis pelo hack da Radiant Capital em outubro de 2024, atribuído pela Mandiant ao UNC4736, um grupo ligado ao Estado norte-coreano também rastreado como AppleJeus ou Citrine Sleet. A base para essa conexão é tanto onchain (fluxos de fundos usados para testar a operação remontam aos atacantes da Radiant) quanto operacional (personagens usados na campanha têm sobreposições identificáveis com atividade conhecida ligada à Coreia do Norte).
É importante notar que os indivíduos que apareceram pessoalmente não eram cidadãos norte-coreanos. Ameaças da Coreia do Norte que operam nesse nível são conhecidas por usar intermediários terceiros para construir relacionamentos presenciais. A Mandiant ainda não atribuiu formalmente o exploit da Drift, pois isso requer a conclusão da análise forense de dispositivos. Conclusão e recomendações A Drift afirmou que os perfis usados nesta operação tinham identidades totalmente construídas, incluindo históricos de emprego, credenciais públicas e redes profissionais.
O protocolo recomendou que equipes do ecossistema verifiquem quem tem acesso a quais recursos e tratem todos os dispositivos que tocam em seus multisigs como alvos potenciais.