O **Drift Protocol** confirmou que atacantes drenaram aproximadamente US$ 285 milhões da plataforma durante um incidente de segurança em 1º de abril de 2026. ### Detalhes do Ataque De acordo com o **Drift**, um ator malicioso obteve acesso não autorizado através de um ataque inovador envolvendo nonces duráveis, levando a uma rápida tomada de controle dos poderes administrativos do Conselho de Segurança. A empresa descreveu a operação como altamente sofisticada, envolvendo preparação de várias semanas e execução em estágios, incluindo o uso de contas de nonce duráveis para pré-assinar transações com execução adiada. O **Drift** enfatizou que o ataque não explorou uma vulnerabilidade em seus programas ou smart contracts, e não há evidências de comprometimento de seed phrases. Em vez disso, a violação envolveu aprovações de transação não autorizadas ou mal representadas obtidas antes da execução, provavelmente facilitadas por mecanismos de nonce duráveis e engenharia social sofisticada. Os atacantes obtiveram aprovações suficientes de multi-assinatura (multisig) e executaram uma transferência de administrador maliciosa para obter controle das permissões em nível de protocolo. Esse controle foi então alavancado para introduzir um ativo malicioso e remover todos os limites de retirada pré-definidos, permitindo que os atacantes drenassem os fundos existentes. ### Cronologia e Investigação A cronologia do **Drift** indica que os preparativos para o hack começaram já em 23 de março de 2026. A empresa está coordenando com várias empresas de segurança para determinar a causa do incidente e trabalhando com pontes, exchanges e autoridades para rastrear e congelar os ativos roubados. Uma análise da **PIF Research Labs** revelou que os ativos foram drenados em 10 segundos, esvaziando os principais cofres em um tempo notavelmente curto. ### Conexão Norte-Coreana Relatórios separados da **Elliptic** e **TRM Labs** sugerem indicações on-chain de que ladrões de criptomoedas norte-coreanos podem estar por trás do roubo. Essas indicações incluem o uso do **Tornado Cash** para o staging inicial, bem como padrões de bridging cross-chain e a velocidade e escala de lavagem pós-hack consistentes com hacks anteriores atribuídos a atores de ameaça norte-coreanos, incluindo o exploit da **Bybit** de 2025. A **TRM Labs** destacou que a vulnerabilidade crítica não foi um bug de smart contract, mas uma combinação de engenharia social para fazer os signers de multisig pré-assinarem autorizações ocultas e uma migração do Conselho de Segurança sem timelock. O atacante fabricou um ativo fictício – o CarbonVote Token – que os oráculos do **Drift** trataram como garantia legítima. A análise da **Elliptic** alinha-se com o modus operandi conhecido associado a atores de ameaça da República Popular Democrática da Coreia (RPDC), observando que este incidente representaria o décimo oitavo ato da RPDC rastreado desde o início do ano, com mais de US$ 300 milhões roubados até o momento. Eles enfatizam que esta é uma continuação da campanha sustentada da RPDC de roubo em larga escala de criptoativos, ligada ao financiamento de seus programas de armas, com mais de US$ 6,5 bilhões em criptoativos roubados nos últimos anos. ### Engenharia Social e Ameaças Contínuas A engenharia social continua sendo o principal caminho de acesso inicial, alavancando personas persuasivas e iscas para atingir os setores de criptomoedas e Web3 através de campanhas rastreadas como **DangerousPassword** e **Contagious Interview**. Os ganhos combinados dessas campanhas totalizam US$ 37,5 milhões este ano. A **Elliptic** alerta que a evolução das técnicas de engenharia social da RPDC, combinada com a crescente disponibilidade de IA, significa que a ameaça se estende além das exchanges, visando desenvolvedores individuais, contribuidores de projetos e qualquer pessoa com acesso à infraestrutura de criptoativos. Este incidente também coincide com o comprometimento da cadeia de suprimentos do popular pacote Axios npm, atribuído a um grupo de hackers norte-coreano chamado UNC1069, que se sobrepõe a BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet e Stardust Chollima. Fornecedores de segurança, incluindo **Google**, **Microsoft**, **CrowdStrike** e **Sophos**, ligaram este grupo à geração de receita para o regime norte-coreano.