O Drift Protocol afirma que o ataque que resultou no roubo de mais de US$ 280 milhões, ocorrido na semana passada, foi fruto de uma operação de longo prazo e cuidadosamente planejada, que incluiu a construção de “uma presença operacional funcional dentro do ecossistema Drift”.
Em 1º de abril, a plataforma de trading baseada na Solana detectou atividade incomum e, em seguida, confirmou a perda de fundos em um ataque sofisticado que permitiu o sequestro dos poderes administrativos do Security Council.
As empresas de inteligência em blockchain Elliptic e TRM Labs atribuíram o roubo a hackers norte-coreanos, que levaram cerca de 12 minutos para esvaziar os ativos dos usuários.
A investigação mostrou que os invasores vinham se preparando havia pelo menos seis meses.
Eles se passaram por uma empresa de quantitative analysis e abordaram colaboradores do Drift pessoalmente em várias conferências de cripto.
“Agora se entende que se trata de uma abordagem direcionada, na qual indivíduos desse grupo continuaram a buscar e abordar deliberadamente colaboradores específicos do Drift, pessoalmente, em várias grandes conferências do setor, em diferentes países, ao longo dos seis meses seguintes”, afirmou o Drift Protocol.
O threat actor continuou a se comunicar com seus alvos pelo Telegram, discutindo estratégias de trading e possíveis integrações com vaults.
O grupo demonstrava alto nível técnico e familiaridade com o funcionamento do Drift, com interações semelhantes às conversas de onboarding normalmente vistas entre empresas de trading e a plataforma.
Segundo o Drift, o grupo do Telegram usado para abordar os colaboradores foi apagado imediatamente após o roubo.
A plataforma ainda não determinou com certeza qual foi o vetor inicial do ataque, mas acredita que dois colaboradores foram comprometidos das seguintes formas:
- um repositório de código malicioso compartilhado com um colaborador, possivelmente explorando uma vulnerabilidade no VSCode/Cursor que permitiu execução silenciosa de código;
- um aplicativo malicioso distribuído via TestFlight, apresentado como produto de wallet.
Vários indicadores encontrados nas investigações da Elliptic e da TRM Labs apontam para um threat actor norte-coreano.
As descobertas do Drift também indicam, com confiança média a alta, que o ataque foi executado pelo UNC4736, também conhecido como AppleJeus e Labyrinth Chollima, um grupo ligado à Coreia do Norte por diversas empresas de segurança.
A empresa de resposta a incidentes Mandiant já havia associado o UNC4736 ao Lazarus.
O mesmo grupo também é apontado como responsável pelo ataque à cadeia de suprimentos da 3CX em 2023, pelo roubo de US$ 50 milhões em criptomoedas da Radiant em 2024 e ainda foi vinculado à exploração de uma zero-day no Chrome.
No entanto, há um detalhe importante: os intermediários que se encontraram presencialmente com os principais colaboradores do Drift em conferências não eram coreanos.
No momento, todas as funções do Drift Protocol permanecem congeladas, e as carteiras comprometidas foram removidas do processo de multisig.
O Drift afirma ainda que as carteiras dos invasores foram sinalizadas em exchanges e em operadores de bridge para impedir que o threat actor mova ou saque os fundos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...