O **Drift Protocol** relata que o recente hack de mais de US$ 280 milhões foi o resultado de uma operação de longo prazo que envolveu o estabelecimento de “uma presença operacional funcional dentro do ecossistema **Drift**”. Em 1º de abril, a plataforma detectou atividade incomum, confirmando a perda de fundos devido a um ataque sofisticado que sequestrou os poderes administrativos do Conselho de Segurança. As empresas de inteligência blockchain **Elliptic** e **TRM Labs** atribuíram o roubo a hackers norte-coreanos, que supostamente drenaram os ativos dos usuários em aproximadamente 12 minutos. A investigação revelou que os hackers estavam preparando o ataque há pelo menos seis meses, fingindo ser representantes de uma empresa quantitativa. Eles abordaram contribuidores do **Drift** pessoalmente em várias conferências de cripto. “Agora se entende que esta parece ser uma abordagem direcionada, onde indivíduos deste grupo continuaram a procurar e engajar deliberadamente contribuidores específicos do **Drift**, pessoalmente, em várias conferências importantes da indústria em vários países durante os seis meses seguintes”, afirmou a empresa. Os atores de ameaça se comunicaram com seus alvos via **Telegram**, discutindo estratégias de trading e potenciais integrações de vaults. Eles demonstraram proficiência técnica e familiaridade com as operações do **Drift**, imitando trocas típicas de onboarding entre empresas de trading e a plataforma. O grupo do **Telegram** usado para engajar os contribuidores foi deletado imediatamente após o roubo. ### Vetores de Ataque O **Drift** acredita que dois contribuidores foram comprometidos através de: * Um repositório de código malicioso compartilhado com um contribuidor, potencialmente explorando uma vulnerabilidade do **VSCode**/Cursor que permitiu a execução silenciosa de código. * Um aplicativo malicioso **TestFlight** apresentado como um produto de carteira. ### Atribuição Investigações pela **Elliptic** e **TRM Labs** sugerem fortemente o envolvimento de um ator de ameaça norte-coreano. As descobertas do **Drift** também indicam com confiança média-alta que o ataque foi perpetrado pelo **UNC4736** (também conhecido como **AppleJeus** e **Labyrinth Chollima**), um ator de ameaça previamente ligado à Coreia do Norte por várias empresas de segurança. A **Mandiant** associou o **UNC4736** ao **Lazarus**. Este mesmo grupo é acreditado como responsável pelo ataque à cadeia de suprimentos **3CX** em 2023, o roubo de criptomoedas **Radiant** de US$ 50 milhões em 2024 e a exploração de zero-days do **Chrome**. Notavelmente, os indivíduos que se encontraram com contribuidores do **Drift** em conferências eram intermediários não coreanos. ### Status Atual Todas as funções do **Drift Protocol** estão atualmente congeladas, e as carteiras comprometidas foram removidas do processo multisig. O **Drift** sinalizou as carteiras dos atacantes em exchanges e operadores de bridge para impedir a movimentação ou saque dos fundos roubados.