Plano de seis meses da RPDC por detrás da exploração de 285 milhões de dólares da Drift choca a comunidade criptográfica

Uma análise da forma como uma falsa empresa de comércio ganhou confiança através de reuniões presenciais e de um depósito de 1 milhão de dólares numa campanha de engenharia social cuidadosamente encenada e com meses de duração.

Pablo

Publicado:
Editado:

O Drift Protocol publicou uma atualização detalhada dos antecedentes após a exploração de 1 de abril que resultou em mais de 285 milhões de dólares em perdas, oferecendo uma nova visão sobre a forma como o ataque foi orquestrado e porque é que o seu impacto se estendeu muito para além de um único protocolo.

O incidente, agora ligado com "confiança média-alta" a um grupo de ameaças afiliado ao Estado norte-coreano, não só levantou sérias questões sobre as práticas de segurança operacional em todo o DeFi, mas também coincidiu com um declínio acentuado no valor total bloqueado de Solana. Nos dias que se seguiram à exploração, o Solana TVL caiu de 6,34 mil milhões de dólares para 5,55 mil milhões de dólares, o que representa um declínio de aproximadamente 12,5%.

Excluindo os fundos roubados, o declínio líquido de cerca de 8% reflecte uma mudança significativa na confiança dos utilizadores, embora permaneça abaixo das médias históricas observadas após grandes explorações.

Uma Campanha de Infiltração de Seis Meses

De acordo com a atualização de 5 de abril do Drift, a exploração não foi o resultado de uma única vulnerabilidade, mas sim de uma operação estruturada que se desenrolou ao longo de vários meses.

O ataque começou no outono de 2025, quando indivíduos se passando por uma empresa de comércio quantitativo abordaram os colaboradores da Drift em uma conferência de criptografia. Nos seis meses seguintes, estes indivíduos mantiveram um contacto consistente, encontrando-se pessoalmente com os colaboradores em vários eventos globais da indústria.

Eles demonstraram um forte conhecimento técnico, apresentaram antecedentes profissionais credíveis e envolveram-se em discussões detalhadas sobre estratégias de negociação e integrações de cofre. Estas interações espelhavam o comportamento típico de integração das empresas de trading, permitindo que a relação se desenvolvesse sem levantar suspeitas imediatas.

Entre dezembro de 2025 e janeiro de 2026, o grupo aprofundou seu envolvimento integrando um Ecosystem Vault no Drift, participando de sessões de trabalho e depositando mais de US $ 1 milhão de capital no protocolo. Esta atividade estabeleceu a legitimidade operacional e reforçou ainda mais a confiança.

Ao longo da relação, o grupo partilhou ligações a ferramentas, aplicações e repositórios como parte de fluxos de trabalho de integração padrão. Estas interações tornaram-se mais tarde centrais para a investigação.

Os prováveis vectores de ataque

As descobertas preliminares do Drift apontam para dois caminhos principais de intrusão.

Um colaborador pode ter sido comprometido após clonar um repositório de código ligado a um vault frontend que os atacantes partilharam. Outro colaborador terá descarregado uma aplicação TestFlight apresentada como o produto de carteira do grupo.

Os investigadores de segurança também notaram uma potencial ligação a uma vulnerabilidade conhecida que afectava ambientes de desenvolvimento como o VSCode e o Cursor no final de 2025 e início de 2026. Esta vulnerabilidade permitia a execução arbitrária de código simplesmente abrindo um repositório malicioso, sem exigir a interação do utilizador.

Após a exploração, a análise forense revelou que os canais de comunicação e o software malicioso dos atacantes foram rapidamente apagados, indicando um esforço coordenado para remover os vestígios.

Avaliação da ameaça e resposta

Os investigadores, incluindo a equipa SEAL 911, avaliaram com confiança média-alta que a operação partilha semelhanças operacionais e onchain com o hack da Radiant Capital de outubro de 2024. Esse incidente foi anteriormente atribuído ao UNC4736, um grupo afiliado ao estado norte-coreano também conhecido como AppleJeus ou Citrine Sleet.

O Drift esclareceu que os indivíduos que se encontraram pessoalmente com os colaboradores do Drift eram provavelmente intermediários, e não membros diretos do grupo de ameaças. Isto está de acordo com as tácticas conhecidas em que os agentes ligados ao Estado utilizam terceiros para estabelecer relações e executar campanhas de engenharia social.

A Mandiant foi contratada para efetuar uma investigação forense completa, embora a atribuição formal continue pendente.

Após a exploração, a Drift congelou todas as funções de protocolo restantes e removeu as carteiras comprometidas do seu multisig. A equipa também assinalou endereços de atacantes em bolsas e operadores de pontes para limitar o fluxo de fundos.

O protocolo está atualmente a trabalhar com as autoridades policiais e parceiros de segurança para continuar a investigação e avaliar as opções de recuperação.

As reacções da indústria realçam as preocupações com a segurança

O incidente provocou comentários generalizados dos líderes do sector, muitos dos quais enfatizaram a necessidade de normas de segurança operacional mais fortes.

Lucas Bruder, cofundador e CEO da Jito Labs, afirmou que o evento mudaria o comportamento da indústria, acrescentando que os participantes da indústria não têm sido "paranóicos o suficiente".

Jacob Creech, Vice-Presidente de Tecnologia da Fundação Solana, salientou práticas de segurança rigorosas, aconselhando as equipas a evitar a instalação de aplicações desconhecidas, a utilizar dispositivos de assinatura dedicados e a reavaliar as suas configurações actuais.

O cofundador da Solana, Anatoly Yakovenko, ecoou esse sentimento, descrevendo o ataque como "aterrorizante" e recomendando a separação física entre os ambientes de desenvolvimento e assinatura, incluindo hardware dedicado para cada função.

Um investigador onchain conhecido como Tay observou que os trabalhadores de TI norte-coreanos contribuíram para a construção de protocolos de criptografia que datam do verão DeFi, citando SushiSwap, THORChain, Harmony, Ankr, Shib e Yearn.

Eles acrescentaram que as alegações de "7 anos de experiência em desenvolvimento de blockchain" nos currículos de tais atores não devem ser descartadas como falsas.

Stepan Simkin, CEO da Squads Protocol, apontou para a necessidade de padrões formais de segurança operacional, sugerindo estruturas semelhantes a auditorias de código ou certificações SOC2 para gerenciamento de protocolo.

Debate sobre responsabilidade e negligência

Nem todas as reacções foram simpáticas. Ariel Givner, especialista em direito, argumentou que o incidente pode constituir negligência civil. Criticou a mistura da atividade de desenvolvimento com o acesso a sistemas críticos, bem como a falta de salvaguardas básicas, tais como ambientes de assinatura com isolamento aéreo.

Os comentários de Givner reflectem um debate mais amplo na comunidade sobre a responsabilidade e se os protocolos devem ser responsabilizados por falhas operacionais evitáveis.

Em contrapartida, Simon Dedic, fundador e sócio-gerente da Moonrock Capital, sugeriu que a sofisticação dos atacantes tornou a prevenção extremamente difícil quando o Drift se tornou um alvo.

Uma mudança mais ampla no pensamento sobre segurança

Outras vozes colocaram o incidente num contexto mais alargado da indústria.

Lily Liu, presidente da Fundação Solana, observou que, embora os contratos inteligentes tenham funcionado como esperado, os invasores estão cada vez mais visando vulnerabilidades humanas em vez de código.

Redwan Meslem, Diretor Executivo da Enterprise Ethereum Alliance, fez comparações com indústrias tradicionais, como a aeroespacial e a bancária, onde controles de acesso rígidos e protocolos de segurança são padrão. Ele argumentou que a criptografia ainda opera com uma cultura de segurança de nível inicial, apesar de gerenciar riscos financeiros significativos.

À medida que as investigações continuam, a lição mais ampla permanece clara. A segurança no DeFi deve se estender além do código para incluir padrões operacionais rigorosos, ambientes controlados e uma reavaliação de como a confiança é estabelecida em um cenário cada vez mais adverso.