#DriftProtocolHacked DriftProtocolHacked: Uma Análise Completa do Roubo DeFi Ligado à Coreia do Norte

A Versão Resumida: Em 1 de abril de 2026 #DriftProtocolHacked sim, um ataque real, não uma brincadeira$285M , a maior bolsa perpétua da Solana, Drift Protocol, perdeu cerca de (milhão), sendo agora considerado o ataque de engenharia social mais sofisticado da história do DeFi. Os atacantes passaram $285 seis meses$1 construindo confiança, encontrando-se pessoalmente com a equipa, depositando mais de (milhão) de seu próprio dinheiro, e finalmente comprometeram máquinas de assinatura para esvaziar o protocolo em apenas 12 minutos.

---

1. Linha do Tempo: Como Aconteceu

Execução do Ataque $285 1 de abril de 2026(

· Total roubado: cerca de )milhão( em múltiplos pools: JLP )~$155,6M(, USDC, SOL, cbBTC, wBTC, WETH e memecoins
· Método: Atacantes ativaram transações pré-assinadas com "nonce durável", listaram tokens CVT falsos como colateral válido, aumentaram os limites de retirada ao máximo e esvaziaram tudo
· Velocidade: 31 transações de retirada concluídas em cerca de 12 minutos
· Conversão imediata: ativos roubados trocados por cerca de 129.000 ETH )~$278M( via Jupiter, bridged para Ethereum

Resposta Imediata

· Depósitos/retiradas congelados imediatamente
· Drift confirmou: "Isto não é uma brincadeira de 1 de abril"
· Todas as funções do protocolo pausadas; carteiras comprometidas removidas do multisig

---

2. Infiltração de Seis Meses: Uma Operação de Inteligência Estruturada

Não foi um bug de código ou um hack aleatório. Foi uma operação de espionagem em grande escala.

Fase 1: Primeiro Contato )Outono de 2025$1

Indivíduos que se passaram por uma firma de trading quantitativo abordaram colaboradores do Drift numa grande conferência de criptomoedas. Eram tecnicamente sofisticados, credíveis, e criaram imediatamente um grupo no Telegram.

Fase 2: Construção de Confiança (Dez 2025 - Jan 2026)

· Integraram um Vault de Ecossistema legítimo no Drift
· Depositando mais de (milhão) de capital próprio para estabelecer credibilidade
· Múltiplas sessões de trabalho sobre estratégias de trading e integrações
· Encontraram-se pessoalmente com colaboradores do Drift em conferências em vários países

Fase 3: Comprometimento Técnico (Fev - Mar 2026)

Dois vetores de ataque prováveis identificados:

Vetor Método
Repositório Malicioso O atacante compartilhou um repositório de código sob o pretexto de implantar uma interface de vault. Uma vulnerabilidade conhecida do VSCode/Cursor (apontada entre Dez 2025 - Fev 2026) permitiu execução silenciosa de código arbitrário apenas ao abrir a pasta—sem cliques, sem avisos
App TestFlight O colaborador foi persuadido a instalar uma versão beta de "wallet" via Apple TestFlight (que ignora a revisão de segurança da App Store)

Após o comprometimento das máquinas, os atacantes obtiveram aprovações do multisig por meio de manipulação de transações.

Fase 4: A Armadilha Está Armadilhada (27 de março de 2026)

O Drift migrou seu Conselho de Segurança para um multisig 2-de-5 com bloqueio de 0 segundos—significando que ações administrativas podiam ser executadas instantaneamente. As transações pré-assinadas já estavam aguardando.

Fase 5: Execução (1 de abril de 2026)

· Os atacantes ativaram as transações inativas
· Chats no Telegram e softwares maliciosos foram completamente apagados assim que o ataque começou
· Fundos esvaziados em 12 minutos

---

3. Atribuição: UNC4736 $50M Subgrupo Lazarus( da Coreia do Norte

Com confiança média-alta, Drift e a equipa SEAL 911 atribuem isto ao UNC4736 )também conhecido como AppleJeus, Citrine Sleet, Gleaming Pisces(—o mesmo grupo por trás do hack do Radiant Capital em outubro de 2024.

Evidências Ligando à DPRK:

· Sobreposição na cadeia: fluxos de fundos usados na operação do Drift rastreiam-se até os atacantes do Radiant Capital
· Padrões operacionais: mesma abordagem paciente, direcionada a humanos, usada no hack da ponte Ronin em 2022 )$625M$285
· Origem Tornado Cash: ataque começou com retirada de ETH do Tornado Cash em 11 de março
· Timestamp de Pyongyang: timestamp de implantação do CVT alinhado com cerca de 09:00 horário de Pyongyang
· Velocidade de lavagem: conversão cross-chain imediata para ETH, sem congelamento por CEXs

Nota Crítica: As Pessoas Presenciais NÃO Eram Nacionais Norte-Coreanos

"Os indivíduos que apareceram pessoalmente nas conferências não eram cidadãos norte-coreanos. Atores de ameaça da DPRK nesse nível costumam usar intermediários de terceiros para construir relacionamentos."

Esses intermediários tinham identidades totalmente construídas—históricos de emprego, credenciais públicas, redes profissionais—projetadas para resistir a diligências de contraparte.

---

4. Análise Técnica: Como Funcionou a Exploração

O Ataque de "Nonce Durável"

A Solana possui um recurso legítimo chamado nonce durável que permite que transações sejam pré-assinadas e executadas posteriormente. Os atacantes:

1. Conseguiram que signatários do multisig aprovassem transações que pareciam rotineiras
2. Essas aprovações tornaram-se chaves de autorização ativas em reserva
3. Quando o bloqueio de tempo foi removido em 27 de março, as transações pré-assinadas ativaram-se instantaneamente

Esquema de Colateral Falso

1. 11 de março: Atacante retirou ETH do Tornado Cash
2. 12 de março: Implantou token "CVT" (carbonvote)
3. 3 semanas: Inseriu liquidez mínima na Raydium, usando wash trading para manter o preço em cerca de $1,00
4. 1 de abril: Oráculos do Drift interpretaram o CVT como colateral legítimo → atacante depositou CVT sem valor → o protocolo emitiu ativos reais contra ele

---

5. As Consequências: Quem Foi Atingido

Perdas Diretas: cerca de (Milhão)

Ativo Quantidade Valor (USD)
Tokens JLP ~41,7M ~$155,6M
USDC Diversos ~$80-100M
SOL Diversos Significativo
cbBTC/wBTC/WETH Diversos Restante

Protocolos Afetados (Contágio)

· Prime Numbers Fi: Perdas de milhões
· Carrot Protocol: Funções de mint/redeem pausadas após 50% do TVL afetado
· Pyra Protocol: Retiradas totalmente desativadas
· Piggybank: Perdeu $106.000 #DriftProtocolHacked reembolsados pelo tesouro$230

Resposta do Jupiter

"Jupiter Lend não está envolvido nos mercados Drift. Os ativos JLP são totalmente garantidos por ativos subjacentes. Este foi um dia difícil para o DeFi na Solana."

Tokens Não Afetados

· Unitas Protocol
· Meteora
· Perena (embora a vault JLP gerenciada pela Neutral Trade tenha sido impactada)

---

6. A Controvérsia das Stablecoins: Circle vs. Tether

Uma grande história secundária surgiu: Por que a Circle não congelou o USDC roubado?

Os Números

· (milhão) em USDC foi bridgado de Solana para Ethereum via Cross-Chain Transfer Protocol da Circle (CCTP)
· Isso aconteceu em mais de seis horas sem intervenção

O Contraste

Resposta do Protocolo
USDT0 (Tether) Parou a comunicação cross-chain na Solana em 90 minutos
Circle CCTP Sem intervenção documentada; protocolo operou sem permissão

Críticas

O analista on-chain ZachXBT criticou publicamente a inação da Circle. Observadores da indústria apontaram que isso expõe uma troca fundamental de design: controle centralizado para resposta a emergências (USDT0) vs. descentralização permissionless (CCTP).

Para contexto, o fundador do Curve Finance, Michael Egorov, comentou: "Se hackers da Coreia do Norte estiverem envolvidos, a probabilidade de recuperação é zero. Eles nunca cooperam e não têm medo da lei."

---

7. Resposta do Drift & Esforços de Recuperação

Ações Imediatas $200 1-3 de abril$10

· Todas as funções do protocolo congeladas
· Carteiras comprometidas removidas do multisig
· Endereços dos atacantes marcados junto de exchanges e operadores de ponte
· Mensagens na cadeia enviadas às carteiras hackers: "Estamos prontos para conversar"

Tentativa de Negociação (3 de abril)

Drift enviou mensagens na cadeia para quatro carteiras Ethereum com fundos roubados, afirmando:

"Informações críticas das partes relacionadas ao exploit foram identificadas. Para a comunidade, o Drift compartilhará atualizações assim que as atribuições de terceiros forem concluídas."

A única resposta? Uma carteira aleatória com $1 em ETH( respondeu: *"Envie-me )milhão para brincar com a equipe do Drift."*

Investigação Forense

· Mandiant contratado para liderar a investigação forense
· Equipa SEAL 911 $300M Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax( creditados por identificar os atores
· Atribuição formal pendente de análises completas de dispositivos

O que disse tanuki42_

"Este é o ataque mais elaborado e direcionado que já vi perpetrado pela DPRK no espaço cripto. Recrutar múltiplos facilitadores e fazê-los atingir pessoas específicas na vida real em grandes eventos de cripto é uma tática insana."

---

8. Por que Isto Muda Tudo no DeFi

A Dura Verdade

"Se atacantes estão dispostos a gastar seis meses, investir )milhão( na ecossistema, encontrar-se pessoalmente com equipes, depositar capital real e esperar pacientemente—que modelo de segurança é projetado para detectar isso?"

Lições Aprendidas

1. Timelocks não são opcionais. Remover um timelock )como Drift fez em 27 de março( transforma um ataque complexo em uma retirada de 12 minutos
2. Engenharia social > exploits de código. A auditoria de código mais sofisticada não impedirá um humano de abrir uma pasta maliciosa no VSCode ou instalar um app TestFlight
3. Segurança permissioned vs. permissionless importa. O contraste USDT0 vs. CCTP mostra verdadeiros trade-offs no design de stablecoins
4. A Coreia do Norte veio para ficar. A Elliptic rastreou mais de )stolado( só no primeiro trimestre de 2026, com atores ligados à DPRK responsáveis por mais de $6,5 bilhões nos últimos anos

O que vem a seguir para o Drift

· A menos que fundos sejam recuperados ou uma grande garantia apareça, o caminho provavelmente leva à liquidação, falência ou litígio
· Nenhum plano de reembolso abrangente foi anunciado até 3-5 de abril
· Probabilidade de recuperação se DPRK estiver envolvida: 0% )conforme Michael Egorov#DriftProtocolHacked

---

9. Carteiras-Chave & Dados na Cadeia

Carteiras ETH do Atacante #DriftProtocolHacked Post-bridge

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Total detido: cerca de 105.969 ETH ~$226M

Remetente de Mensagens na Cadeia do Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Conclusão Final

Isto não foi um hack. Foi uma operação hostil de inteligência de seis meses conduzida por um Estado-nação contra um protocolo DeFi. Os atacantes:

· Usaram intermediários de terceiros com identidades falsas, mas perfeitas
· Encontraram-se pessoalmente com alvos em conferências em vários países
· Depositarem mais de $1M de capital real como cobertura
· Exploitaram ferramentas de desenvolvedor confiáveis VSCode e TestFlight da Apple
· Executaram uma drenagem perfeitamente sincronizada de 12 minutos

Se o DeFi quer sobreviver, a indústria precisa aceitar que engenharia social e atores de Estado-nação são o modelo de ameaça agora—não apenas bugs em contratos inteligentes.

"A investigação mostrou que os perfis utilizados tinham identidades totalmente construídas, incluindo históricos de emprego, credenciais públicas e redes profissionais que resistiriam a uma análise minuciosa durante uma relação comercial." — Drift Protocol