A exchange descentralizada Drift, baseada na rede Solana, confirmou que atacantes drenaram cerca de US$ 285 milhões da plataforma durante um incidente de segurança ocorrido em 1º de abril de 2026.
“Mais cedo hoje, um agente malicioso obteve acesso não autorizado ao Drift Protocol por meio de um novo ataque envolvendo durable nonces, resultando na tomada rápida dos poderes administrativos do Security Council da Drift”, afirmou a empresa em uma série de publicações no X.
“Trata-se de uma operação altamente sofisticada, que parece ter envolvido semanas de preparação e execução em etapas, incluindo o uso de contas com durable nonce para pré-assinar transações que atrasaram a execução.”
A Drift destacou que o ataque não explorou uma vulnerabilidade em seus programas ou smart contracts e que não há indícios de comprometimento de seed phrases.
Segundo a empresa, a violação envolveu “aprovações de transações não autorizadas ou deturpadas obtidas antes da execução, provavelmente facilitadas por mecanismos de durable nonce e por engenharia social sofisticada”.
Com isso, os agentes de ameaça conseguiram aprovações suficientes de multisig e executaram, em poucos minutos, uma transferência administrativa maliciosa para assumir o controle de permissões em nível de protocolo.
Em seguida, usaram esse acesso para “introduzir um ativo malicioso e remover todos os limites de saque pré-configurados, atacando os fundos existentes”.
De acordo com uma linha do tempo compartilhada pela Drift, os preparativos para o ataque já estavam em andamento desde 23 de março de 2026.
A empresa informou que está trabalhando com várias empresas de segurança para apurar a causa do incidente e que também coopera com bridges, exchanges e autoridades para rastrear e congelar os ativos roubados.
Em relatórios separados publicados na quinta-feira, Elliptic e TRM Labs disseram haver indícios on-chain de que ladrões de criptomoedas ligados à Coreia do Norte podem estar por trás do roubo.
Entre os sinais observados estão o uso do Tornado Cash na etapa inicial, além de padrões de bridging entre blockchains e a velocidade e escala da lavagem dos fundos após o ataque, comportamento compatível com invasões anteriormente atribuídas a grupos norte-coreanos, incluindo o grande exploit da Bybit em 2025.
“A vulnerabilidade crítica não foi um bug em smart contract, mas uma combinação de engenharia social, que levou os signatários do multisig a pré-assinar autorizações ocultas, e uma migração do Security Council sem timelock, que eliminou a última linha de defesa do protocolo”, afirmou a TRM Labs.
“O atacante criou um ativo inteiramente fictício, o CarbonVote Token, com alguns milhares de dólares em liquidez inicial e wash trading, e os oracles da Drift o trataram como colateral legítimo, avaliado em centenas de milhões de dólares.”
A empresa de inteligência blockchain também observou que o CarbonVote Token foi implantado às 9h30, no horário de Pyongyang.
A Elliptic, em sua própria análise do incidente, afirmou que o comportamento on-chain, os métodos de lavagem e os indicadores de rede estão alinhados com táticas conhecidas associadas a agentes da República Popular Democrática da Coreia, a Coreia do Norte.
A empresa também disse que, se a suspeita for confirmada, este incidente “representaria o décimo oitavo ato ligado à RPDC” monitorado desde o início do ano, com mais de US$ 300 milhões roubados até agora.
“Trata-se de uma continuação da campanha sustentada da RPDC de roubo em larga escala de criptoativos, que o governo dos Estados Unidos vinculou ao financiamento de seus programas de armas”, afirmou a Elliptic.
“Acredita-se que atores ligados à RPDC tenham roubado mais de US$ 6,5 bilhões em criptoativos nos últimos anos.”
A operação norte-coreana de roubo de criptoativos teria alcançado o recorde de US$ 2 bilhões em 2025, dos quais cerca de US$ 1,46 bilhão vieram do ataque à Bybit, em fevereiro de 2025.
O principal vetor inicial desses ataques continua sendo a engenharia social, com uso de personas convincentes e iscas para mirar o setor de criptomoedas e Web3 em campanhas acompanhadas como DangerousPassword, também conhecidas como CageyChameleon, CryptoMimic e CryptoCore, além de Contagious Interview.
Até o fim de fevereiro de 2026, os ganhos combinados dessas duas campanhas somavam US$ 37,5 milhões neste ano.
“A operação de roubo de criptoativos da RPDC não é uma série de incidentes isolados.
É uma campanha contínua, bem financiada e em expansão em escala e sofisticação”, afirmou a Elliptic.
“A evolução das técnicas de engenharia social da RPDC, combinada com a crescente disponibilidade de IA para refinar e aperfeiçoar esses métodos, faz com que a ameaça vá muito além das exchanges.
Desenvolvedores individuais, contribuidores de projetos e qualquer pessoa com acesso à infraestrutura de criptoativos é um alvo em potencial.”
O caso coincide com a violação da cadeia de suprimentos do popular pacote Axios no npm, atribuída por vários fornecedores de segurança, incluindo Google, Microsoft, CrowdStrike e Sophos, a um grupo de hackers norte-coreano identificado como UNC1069, com sobreposição a BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet e Stardust Chollima.
“Esse grupo patrocinado por Estado concentra-se em gerar receita para o regime norte-coreano”, disse a Sophos.
“Os artefatos incluem metadados forenses idênticos e padrões de command-and-control, além de conexões com malware usado exclusivamente por Nickel Gladstone.
Com base nesses artefatos, é altamente provável que a Nickel Gladstone seja responsável pelos ataques ao Axios.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...