#DriftProtocolHacked

Uma operação de inteligência patrocinada pelo Estado disfarçada de aperto de mão numa conferência de criptomoedas. A indústria está a recuperar de um dos ataques DeFi mais sofisticados já registados.

A Escala da Brecha

A Drift Protocol, a maior bolsa de futuros perpétuos na Solana, foi drenada de aproximadamente **$285 milhões em 1 de abril de 2026**. O ataque não foi uma vulnerabilidade de contrato inteligente nem uma chave roubada, mas a culminação de uma **operação de engenharia social de seis meses** orquestrada por **UNC4736 $285 Citrine Sleet/AppleJeus(**, um grupo patrocinado pelo Estado ligado à Coreia do Norte. A Chainalysis afirmou que, se confirmado, os roubos de criptomoedas ligados à Coreia do Norte totalizariam pelo menos 10,58 trilhões de won a nível global. A escala da operação é impressionante: o grupo criou uma identidade falsa de uma firma de trading quantitativo, depositou mais de ) milhões do seu próprio capital real, e encontrou-se pessoalmente com colaboradores da Drift em conferências em vários países antes de atacar.

---

Anatomia de um Ataque Patrocinado pelo Estado

Os atacantes começaram a sua operação no outono de 2025 numa grande conferência de criptomoedas, onde se fizeram passar por representantes de uma firma de trading quantitativo. O que se seguiu foi uma campanha meticulosa e paciente de construção de confiança que durou cerca de meio ano.

· A Fase de Infiltração: Em dezembro de 2025 e janeiro de 2026, o grupo integrou uma Ecosystem Vault na Drift, submeteu documentação de estratégia, participou em várias sessões de trabalho com colaboradores, e depositou mais de $1 milhões do seu próprio capital. A Drift descreveu este comportamento como totalmente consistente com a forma como firmas de trading legítimas normalmente se integram na plataforma.
· A Camada Humana: Durante fevereiro e março de 2026, os colaboradores da Drift encontraram-se pessoalmente com membros do grupo em várias conferências importantes do setor em diferentes países. Quando o ataque foi lançado, estes já não eram estranhos, mas parceiros de trabalho estabelecidos com uma relação de quase seis meses.
· Os Vetores Técnicos: Uma vez estabelecida a confiança, o grupo lançou um ataque de duas frentes: uma envolvia uma aplicação maliciosa do TestFlight, a plataforma de distribuição de aplicações pré-lançamento da Apple, que contorna a revisão da App Store, apresentada como o seu produto de carteira; a outra explorou uma vulnerabilidade conhecida no VSCode e Cursor, onde abrir um ficheiro ou pasta era suficiente para executar silenciosamente código arbitrário sem aviso ou aviso.

---

A Execução: Uma Funcionalidade da Solana Transformada em Arma

Os atacantes abusaram de uma funcionalidade legítima da Solana chamada "nonces duráveis", que permite que transações sejam pré-assinadas e permaneçam válidas indefinidamente. Ao enganar dois dos cinco signatários do Conselho de Segurança da Drift com uma multisig, os atacantes obtiveram aprovações pré-assinadas que ficaram inativas por mais de uma semana. Em 1 de abril, executaram essas transações pré-assinadas, assumindo poderes administrativos ao nível do protocolo em menos de um minuto.

---

As Consequências: Repercussões no Mercado e Reação da Comunidade

O impacto imediato foi devastador:

· Queda do TVL: O valor total bloqueado na Drift caiu de cerca de $1 milhões para menos de ( milhões numa manhã, uma queda superior a 53%.
· Queda do Token: O token DRIFT caiu até 45% nas horas seguintes, atingindo cerca de $0,04–$0,05.
· Impacto no Ecossistema Mais Amplo: Pelo menos 20 outros projetos com exposição à liquidez ou estratégias da Drift pausaram operações ou avaliaram perdas.
· Circle Sob Fogo: O investigador on-chain ZachXBT criticou a Circle por não ter congelado USDC roubado durante o ataque, já que o atacante usou o próprio Cross-Chain Transfer Protocol da Circle )CCTP$550 para transferir aproximadamente $250 milhões em USDC de Solana para Ethereum sem intervenção.

---

Implicações Legais e de Segurança

O advogado de criptomoedas Ariel Givner afirmou que o incidente pode constituir "negligência civil", argumentando que a equipa da Drift não seguiu procedimentos básicos de segurança — incluindo manter as chaves de assinatura em sistemas separados, isolados, e realizar a devida diligência sobre os desenvolvedores conhecidos em conferências do setor. Já circulam anúncios de possíveis ações coletivas contra a Drift Protocol. Em resposta, a Solana Foundation e a Asymmetric Research lançaram o programa de segurança STRIDE a 6 de abril de 2026, oferecendo verificação formal e monitorização de ameaças para protocolos DeFi na Solana.

---

Uma Nova Era de Ameaças no DeFi

Este ataque representa uma escalada fundamental no panorama de ameaças. Não foi uma exploração de código — foi uma operação de inteligência estruturada que exigiu apoio organizacional, recursos significativos e meses de preparação deliberada. Os atacantes não criaram apenas perfis falsos no LinkedIn; implantaram intermediários com identidades totalmente construídas, históricos profissionais verificáveis, e redes profissionais capazes de resistir a uma devida diligência real. Como observou um investigador de segurança: "Se os atacantes agem como uma organização real durante seis meses, investem fundos, e participam no ecossistema, é praticamente impossível detectá-los com os sistemas de segurança existentes".

()$232 #DeFiHack