Hackers norte-coreanos roubam US$285 milhões da plataforma Drift em ataque sofisticado
Ataque planejado por mais de seis meses envolveu engenharia social, manipulação de mercado e exploração de mecanismos do blockchain Solana. Especialistas apontam para o grupo UNC4736, conhecido por ataques anteriores no setor de criptomoedas.
MundiX News·14 de abril de 2026·7 min de leitura·👁 2 views
O Drift Protocol sofreu um prejuízo de US$285 milhões em um ataque orquestrado por hackers norte-coreanos, resultado de um planejamento que se estendeu por mais de seis meses. Os invasores, pertencentes ao grupo UNC4736, conduziram uma operação complexa de engenharia social, cultivando relações de confiança com colaboradores do projeto desde o outono de 2025.
O Drift Protocol é uma plataforma DeFi (Decentralized Finance) construída sobre o blockchain Solana, operando como uma exchange não custodial, onde os traders mantêm controle total sobre seus fundos. No final de 2024, a plataforma contava com 200.000 traders e um volume total de negociações superior a US$55 bilhões.
De acordo com a declaração da Drift, a preparação para o ataque começou em 11 de março. Os criminosos retiraram 10 ETH do Tornado Cash e utilizaram esses fundos para criar um token fictício chamado CarbonVote Token (CVT), totalizando 750 milhões de unidades. Em seguida, criaram um pool de liquidez na exchange descentralizada Raydium, adicionando apenas US$500, e inflacionaram artificialmente os volumes por meio de wash-trading (negociações falsas consigo mesmos) durante várias semanas, mantendo o preço do CVT artificialmente próximo de US$1. Os oráculos de preço da Drift interpretaram essa atividade como legítima e começaram a reconhecer o CVT como um ativo válido.
Paralelamente, entre 23 e 30 de março, os atacantes criaram contas durable nonce. Durable nonce é um mecanismo legítimo do Solana que permite assinar uma transação antecipadamente e executá-la posteriormente, evitando a janela de expiração padrão (geralmente de 60 a 90 segundos). Através de engenharia social, os hackers convenceram dois dos cinco membros do Conselho de Segurança a assinar transações que pareciam rotineiras, o suficiente para ultrapassar o limite de multi-signature.
Um fator crítico foi a migração planejada do Conselho de Segurança em 27 de março, que removeu o timelock – um atraso na execução de ações administrativas que normalmente concede à comunidade de 24 a 72 horas para detectar atividades suspeitas.
Em 1º de abril, todos os elementos se alinharam. Inicialmente, foi realizado um teste de retirada, seguido, um minuto depois, pela execução das transações durable nonce pré-assinadas, permitindo que os atacantes assumissem o controle administrativo. Com as novas permissões, adicionaram o CVT como um ativo de garantia aceitável na Drift, elevaram os limites de retirada para valores exorbitantes (500 trilhões, efetivamente desativando a proteção) e depositaram centenas de milhões de tokens CVT como garantia. Com base no preço fabricado pelos oráculos, essa garantia parecia valiosa, e os hackers retiraram ativos reais, incluindo USDC, JLP e outros tokens, em 31 transações que levaram apenas 12 minutos.
As estimativas da Drift apontam para perdas de aproximadamente US$280 milhões, enquanto analistas de blockchain da PeckShield avaliam o prejuízo em US$285 milhões.
A Drift enfatiza que não foram encontradas vulnerabilidades nos smart contracts ou no código da plataforma, e que as seed phrases não foram comprometidas.
Especialistas das empresas Elliptic e TRM Labs vincularam o ataque a hackers da Coreia do Norte com base em indicadores on-chain, como o uso do Tornado Cash, padrões de cross-chain bridging e a rápida lavagem de fundos, características de grupos norte-coreanos.
A responsabilidade pelo incidente é atribuída, com um grau moderado de certeza, ao UNC4736 (também conhecido como AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces). Este grupo de hackers tem como alvo o setor de criptomoedas desde pelo menos 2018, sendo conhecido pelo ataque à cadeia de suprimentos da 3CX em 2023 e pelo hack da plataforma DeFi Radiant Capital, que resultou em perdas de US$53 milhões em outubro de 2024.
Detalhes sobre os ataques de engenharia social, conduzidos pelos hackers desde o outono de 2025, também vieram à tona. Apresentando-se como funcionários de uma empresa de trading, os criminosos entraram em contato com colaboradores da Drift em grandes conferências de criptomoedas. Eles possuíam conhecimento técnico, histórico profissional verificável e profundo entendimento do funcionamento da Drift. Após o primeiro contato, a comunicação continuou no Telegram, com meses de discussões sobre estratégias de negociação e integração com o protocolo.
"As pessoas que se encontraram pessoalmente com nossos colaboradores não eram cidadãos da Coreia do Norte", explicou a Drift. "No entanto, hackers da Coreia do Norte que operam nesse nível são conhecidos por recrutar intermediários para construir relacionamentos pessoais com as vítimas".
Entre dezembro de 2025 e janeiro de 2026, o grupo implantou seu próprio Ecosystem Vault na Drift, preencheu um formulário com a descrição da estratégia e investiu mais de US$1 milhão de seus próprios fundos, tudo para fortalecer a confiança e se estabelecer dentro do ecossistema. Os representantes continuaram a se comunicar com os colaboradores até o momento do ataque.
A investigação revelou dois prováveis vetores de comprometimento. Um dos colaboradores pode ter sido comprometido após clonar um repositório de código fornecido pelos criminosos. O projeto malicioso do Visual Studio Code utilizava um arquivo tasks.json com a opção runOn: folderOpen, que executava automaticamente o código malicioso ao abrir o projeto no IDE.
O segundo colaborador instalou uma carteira digital por meio do Apple TestFlight, supostamente para testes beta.
Como resultado do ataque, os depósitos de borrow/lend, os fundos em vaults e os fundos de negociação foram afetados. Todas as funções do protocolo estão atualmente congeladas, embora a Drift afirme que o DSOL não foi afetado e os fundos do fundo de seguro estão protegidos.
Os desenvolvedores estão colaborando com especialistas em segurança cibernética, exchanges de criptomoedas e autoridades policiais para rastrear e congelar os fundos roubados. Um relatório mais detalhado sobre o incidente será publicado nos próximos dias.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
O Drift Protocol sofreu um prejuízo de US$285 milhões em um ataque orquestrado por hackers norte-coreanos, resultado de um planejamento que se estendeu por mais de seis meses. Os invasores, pertencentes ao grupo UNC4736, conduziram uma operação complexa de engenharia social, cultivando relações de confiança com colaboradores do projeto desde o outono de 2025.
O Drift Protocol é uma plataforma DeFi (Decentralized Finance) construída sobre o blockchain Solana, operando como uma exchange não custodial, onde os traders mantêm controle total sobre seus fundos. No final de 2024, a plataforma contava com 200.000 traders e um volume total de negociações superior a US$55 bilhões.
De acordo com a declaração da Drift, a preparação para o ataque começou em 11 de março. Os criminosos retiraram 10 ETH do Tornado Cash e utilizaram esses fundos para criar um token fictício chamado CarbonVote Token (CVT), totalizando 750 milhões de unidades. Em seguida, criaram um pool de liquidez na exchange descentralizada Raydium, adicionando apenas US$500, e inflacionaram artificialmente os volumes por meio de wash-trading (negociações falsas consigo mesmos) durante várias semanas, mantendo o preço do CVT artificialmente próximo de US$1. Os oráculos de preço da Drift interpretaram essa atividade como legítima e começaram a reconhecer o CVT como um ativo válido.
Paralelamente, entre 23 e 30 de março, os atacantes criaram contas durable nonce. Durable nonce é um mecanismo legítimo do Solana que permite assinar uma transação antecipadamente e executá-la posteriormente, evitando a janela de expiração padrão (geralmente de 60 a 90 segundos). Através de engenharia social, os hackers convenceram dois dos cinco membros do Conselho de Segurança a assinar transações que pareciam rotineiras, o suficiente para ultrapassar o limite de multi-signature.
Um fator crítico foi a migração planejada do Conselho de Segurança em 27 de março, que removeu o timelock – um atraso na execução de ações administrativas que normalmente concede à comunidade de 24 a 72 horas para detectar atividades suspeitas.
Em 1º de abril, todos os elementos se alinharam. Inicialmente, foi realizado um teste de retirada, seguido, um minuto depois, pela execução das transações durable nonce pré-assinadas, permitindo que os atacantes assumissem o controle administrativo. Com as novas permissões, adicionaram o CVT como um ativo de garantia aceitável na Drift, elevaram os limites de retirada para valores exorbitantes (500 trilhões, efetivamente desativando a proteção) e depositaram centenas de milhões de tokens CVT como garantia. Com base no preço fabricado pelos oráculos, essa garantia parecia valiosa, e os hackers retiraram ativos reais, incluindo USDC, JLP e outros tokens, em 31 transações que levaram apenas 12 minutos.
As estimativas da Drift apontam para perdas de aproximadamente US$280 milhões, enquanto analistas de blockchain da PeckShield avaliam o prejuízo em US$285 milhões.
A Drift enfatiza que não foram encontradas vulnerabilidades nos smart contracts ou no código da plataforma, e que as seed phrases não foram comprometidas.
Especialistas das empresas Elliptic e TRM Labs vincularam o ataque a hackers da Coreia do Norte com base em indicadores on-chain, como o uso do Tornado Cash, padrões de cross-chain bridging e a rápida lavagem de fundos, características de grupos norte-coreanos.
A responsabilidade pelo incidente é atribuída, com um grau moderado de certeza, ao UNC4736 (também conhecido como AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces). Este grupo de hackers tem como alvo o setor de criptomoedas desde pelo menos 2018, sendo conhecido pelo ataque à cadeia de suprimentos da 3CX em 2023 e pelo hack da plataforma DeFi Radiant Capital, que resultou em perdas de US$53 milhões em outubro de 2024.
Detalhes sobre os ataques de engenharia social, conduzidos pelos hackers desde o outono de 2025, também vieram à tona. Apresentando-se como funcionários de uma empresa de trading, os criminosos entraram em contato com colaboradores da Drift em grandes conferências de criptomoedas. Eles possuíam conhecimento técnico, histórico profissional verificável e profundo entendimento do funcionamento da Drift. Após o primeiro contato, a comunicação continuou no Telegram, com meses de discussões sobre estratégias de negociação e integração com o protocolo.
"As pessoas que se encontraram pessoalmente com nossos colaboradores não eram cidadãos da Coreia do Norte", explicou a Drift. "No entanto, hackers da Coreia do Norte que operam nesse nível são conhecidos por recrutar intermediários para construir relacionamentos pessoais com as vítimas".
Entre dezembro de 2025 e janeiro de 2026, o grupo implantou seu próprio Ecosystem Vault na Drift, preencheu um formulário com a descrição da estratégia e investiu mais de US$1 milhão de seus próprios fundos, tudo para fortalecer a confiança e se estabelecer dentro do ecossistema. Os representantes continuaram a se comunicar com os colaboradores até o momento do ataque.
A investigação revelou dois prováveis vetores de comprometimento. Um dos colaboradores pode ter sido comprometido após clonar um repositório de código fornecido pelos criminosos. O projeto malicioso do Visual Studio Code utilizava um arquivo tasks.json com a opção runOn: folderOpen, que executava automaticamente o código malicioso ao abrir o projeto no IDE.
O segundo colaborador instalou uma carteira digital por meio do Apple TestFlight, supostamente para testes beta.
Como resultado do ataque, os depósitos de borrow/lend, os fundos em vaults e os fundos de negociação foram afetados. Todas as funções do protocolo estão atualmente congeladas, embora a Drift afirme que o DSOL não foi afetado e os fundos do fundo de seguro estão protegidos.
Os desenvolvedores estão colaborando com especialistas em segurança cibernética, exchanges de criptomoedas e autoridades policiais para rastrear e congelar os fundos roubados. Um relatório mais detalhado sobre o incidente será publicado nos próximos dias.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
