No fim de semana, a equipe por trás do Drift, que é um protocolo criptográfico para negociação perpétua de futuros em Solana, forneceu uma atualização sobre um hack do projeto ocorrido em 1º de abril. No relatório, uma operação de inteligência de seis meses dirigida por um grupo criminoso de hackers conectado ao regime norte-coreano é apontada como a origem do ataque. No entanto, alguns observadores também apontam o dedo para a equipe de Drift por motivos de incompetência ou pior.
O hack retirou cerca de US$ 285 milhões dos swimming pools de armazenamento do Drift, que continham stablecoins como USDC, junto com JLP, SOL e outros ativos criptográficos. Duas empresas de rastreamento de blockchain, Laboratórios TRM e Elípticoreuniu a sequência completa.
Tudo começou em meados de março de 2026. Os invasores primeiro movimentaram dinheiro por meio de um serviço de mixagem chamado Twister Money para ocultar seus rastros e criar contas especiais que lhes permitiam preparar certas transações com antecedência. Em 27 de março, a equipe de segurança do Drift mudou para um novo sistema de aprovação que precisava de apenas dois em cada cinco detentores de chaves para aprovar mudanças importantes e removeu qualquer período de espera integrado que pudesse ter acionado um alerta. Os hackers então criaram 750 milhões de novos tokens falsos, chamados CarbonVote Token, ou CVT. Eles manipularam a atividade comercial para que as ferramentas de verificação de preços do Drift tratassem esses tokens inúteis como garantias legítimas e de alto valor que poderiam respaldar grandes retiradas.
No dia 1º de abril, eles dispararam as transações pré-preparadas. Isto permitiu-lhes adicionar o token falso à plataforma, aumentar os limites de empréstimo, despejar centenas de milhões de tokens falsos no sistema e drenar ativos reais através de 31 levantamentos rápidos. Todo o processo demorou cerca de 12 minutos. Eles rapidamente trocaram os fundos roubados por USDC em uma bolsa Solana e transferiram tudo para a rede Ethereum para encobrir seus rastros.
Peço a todos que trabalham com criptografia que leiam isso na íntegra.
Eu esperava que fosse mais um caso de engenharia social, provavelmente alguma merda de recrutador/oferta de emprego.
Eu estava muito errado.
E a profundidade da operação e das personas me faz pensar que eles já têm várias outras equipes sob controle.
— Tay 💖 (@tayvano_) 5 de abril de 2026
Notavelmente, esta abordagem ecoa uma exploração recente no protocolo Resolv e seu stablecoin USR. Lá, um invasor obteve o controle de uma chave de assinatura privilegiada da AWS, cunhou quase 80 milhões de novos tokens USR contra apenas algumas centenas de milhares de dólares em garantia actual e sacou cerca de US$ 25 milhões. Ambos os casos dependiam do acesso à chave privada e não de uma vulnerabilidade pura de código, combinada com a capacidade de emitir ou garantir activos muito além dos limites normais.
TRM Labs e Elliptic sinalizaram a conexão norte-coreana poucos dias após o incidente de 1º de abril. Os indicadores incluíam encenação em cadeia alinhada com a hora native de Pyongyang e padrões de comportamento correspondentes a atividades anteriores ligadas à RPDC.
Atualização pública do Drift no X forneceu mais detalhes sobre como a operação supostamente se desenrolou ao longo de seis meses. No outono de 2025, indivíduos se passando por representantes de uma empresa de comércio quantitativo abordaram colaboradores do Drift em uma importante conferência de criptografia. Eles continuaram o contato pessoalmente em eventos em vários países, estabeleceram um grupo de Telegram, discutiram estratégias comerciais detalhadas e integrações de cofres, e até mesmo integraram seu próprio Cofre de Ecossistema com mais de US$ 1 milhão em depósitos. As conversas e os recursos compartilhados pareciam rotineiros para contrapartes legítimas. Após o hack, o grupo apagou o histórico do Telegram e qualquer software program associado.
A perícia apontou três vetores potenciais para o comprometimento da chave privada envolvido no ataque: um contribuidor pode ter clonado um repositório de código que explorava uma vulnerabilidade conhecida do VSCode ou do Cursor, permitindo a execução silenciosa de código arbitrário; um segundo foi persuadido a baixar um aplicativo TestFlight apresentado como produto de carteira da empresa; e um terceiro vetor continua sob revisão ativa pelas autoridades policiais. Com confiança média a alta, a equipe do SEAL 911 atribuiu o esforço aos mesmos atores afiliados ao Estado norte-coreano por trás do hack da Radiant Capital em outubro de 2024. Além disso, os indivíduos envolvidos não eram cidadãos norte-coreanos, mas sim intermediários, uma tática consistente com o comércio da RPDC.
Quanto mais penso nisso, mais não posso deixar de pensar que estamos lidando com uma questão de negligência civil.
Desculpe por quanto tempo esse discurso vai durar, mas estou com muita raiva.
O Drift Protocol estava lidando com centenas de milhões em dinheiro de usuários. Eles sabiam que a criptografia está cheia de hackers -… https://t.co/qhdzuII0gc
-Ariel Givner (@GivnerAriel) 5 de abril de 2026
Em termos da culpabilidade da equipe Drift no incidente, alguns questionaram por que um protocolo que gerencia centenas de milhões permitiria downloads de aplicativos não verificados, como a carteira TestFlight, em {hardware} vinculado ao acesso com múltiplas assinaturas. Outros destacaram a falta de uma compartimentação mais rigorosa entre os ambientes de desenvolvimento e as chaves de assinatura, argumentando que a segurança operacional básica deveria ter evitado a violação, independentemente da sofisticação do invasor. “Quanto mais penso nisso, mais não posso deixar de pensar que estamos lidando com uma questão de negligência civil”, o advogado de criptografia Ariel Givner escreveu no X.
Ao mesmo tempo, os pesquisadores de segurança avisado que uma verdadeira campanha de inteligência deste calibre, com a duração de seis meses, sugere que operações semelhantes já poderiam estar em curso contra outros projectos. O nível de paciência e investimento de recursos implica que os actores não se limitaram a um único alvo.
A Coreia do Norte confiou no roubo de criptomoedas como um mecanismo de financiamento consistente durante anos. Os principais incidentes anteriores incluem o dreno da Ronin Community em 2022 de mais de US$ 600 milhões e repetidos compromissos cambiais. Em 2025, os hackers do regime estabeleceram um novo recorde anual ao roubar 2,02 mil milhões de dólares, de acordo com um relatório da Chainalysis.
A combinação de fumaça e espelhos, colaboração remota e altos riscos financeiros em criptografia cria condições onde grupos determinados e sofisticados, incluindo agências de inteligência, podem investir meses na construção de confiança antes de atacar. E quando centenas de milhões ou mesmo milhares de milhões estiverem potencialmente disponíveis, os intervenientes prosseguirão os ataques através de meios extensos e exaustivos. Os dados também mostram claramente que o uso criminoso de criptografia está aumentando, já que tanto transferências ilícitas e ataques físicos a detentores de criptografia conhecidos atingiu novos máximos históricos no ano passado.
