O Drift Protocol divulgou detalhes sobre a sua exploração de 1 de abril de 2026, descrevendo um ataque coordenado construído ao longo de seis meses. A exchange descentralizada afirmou que a violação seguiu reuniões presenciais, envolvimento técnico e distribuição de software malicioso. O incidente, que ocorreu a 1 de abril, envolveu colaboradores comprometidos e resultou em perdas estimadas perto de 280 milhões de dólares.
Drift Protocol Rastreia Engenharia Social de Longo Prazo
Num artigo no X, o Drift Protocol afirmou que o ataque começou por volta de outubro de 2025 numa importante conferência de criptomoedas. De acordo com o Drift Protocol, indivíduos que se faziam passar por uma empresa de negociação quantitativa abordaram colaboradores procurando integração.
No entanto, a interação não parou por aí. O grupo continuou a envolver colaboradores em múltiplas conferências da indústria global durante seis meses. Apresentaram antecedentes profissionais verificados e demonstraram fluência técnica durante repetidas reuniões presenciais.
Além disso, formaram um grupo no Telegram após o contacto inicial. Ao longo do tempo, discutiram estratégias de negociação e potenciais integrações de cofres com colaboradores. Estas discussões seguiram padrões de integração padrão para empresas de negociação que interagem com o Drift Protocol.
De dezembro de 2025 a janeiro de 2026, o grupo integrou um cofre do ecossistema. Submeteram detalhes de estratégia e depositaram mais de 1 milhão de dólares no protocolo. Entretanto, conduziram sessões de trabalho e fizeram perguntas detalhadas sobre o produto.
Comprometimento Ligado a Ferramentas Partilhadas e Acesso a Dispositivos
À medida que as conversas de integração progrediram em fevereiro e março de 2026, a confiança aprofundou-se. Os colaboradores encontraram-se novamente com o grupo em eventos da indústria, fortalecendo relações existentes. No entanto, o Drift Protocol mais tarde identificou estas interações como o vetor de intrusão provável.
De acordo com o Drift Protocol, os atacantes partilharam repositórios e aplicações maliciosos durante a colaboração. Isto é um contraste completo com a denúncia de ZachXBT sobre a Circle relativamente ao atraso da exploração de 280 milhões de dólares. Um colaborador alegadamente clonou um repositório de código apresentado como uma ferramenta de implementação de frontend.
Fonte: Arkham
Outro colaborador descarregou uma aplicação TestFlight descrita como um produto de carteira. Estas ações potencialmente expuseram dispositivos a comprometimento. Para o vetor do repositório, o Drift Protocol apontou para uma vulnerabilidade conhecida no VSCode e Cursor.
Durante dezembro de 2025 a fevereiro de 2026, abrir ficheiros poderia levar a execução silenciosa de código sem avisos. Após a exploração, o Drift Protocol conduziu revisões forenses em dispositivos e contas afetados. Notavelmente, os canais de comunicação dos atacantes e o malware foram eliminados imediatamente após a execução.
Atribuição e Esforços de Investigação em Curso
O Drift Protocol afirmou que congelou todas as funções do protocolo após detetar a exploração. Também removeu carteiras comprometidas da sua estrutura de assinatura múltipla e sinalizou carteiras de atacantes em exchanges e pontes. A empresa envolveu a Mandiant para apoiar a investigação. Entretanto, a SEALs 911 contribuiu com análise apontando para um grupo de ameaça conhecido.
Com confiança média-alta, a exchange descentralizada ligou o ataque aos atores por trás do hack da Radiant Capital de outubro de 2024. Essa operação foi anteriormente atribuída ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet.
O Drift Protocol esclareceu que os indivíduos envolvidos nas reuniões presenciais não eram nacionais norte-coreanos. Em vez disso, observou que tais operações frequentemente usam intermediários de terceiros para envolvimento presencial.
De acordo com ZachXBT, a atividade reflete operações cibernéticas conhecidas ligadas à RPDC frequentemente agrupadas sob o guarda-chuva Lazarus. Ele explicou que Lazarus refere-se a um conjunto de unidades de hacking, enquanto RPDC indica afiliação estatal por trás dessas operações. Ele observou que tais grupos usam identidades em camadas, intermediários e construção de acesso de longo prazo antes de executar ataques.
Fonte: ZachXBT
ZachXBT acrescentou que os fluxos de fundos on-chain ligados à exploração mostram sobreposições com carteiras ligadas a incidentes anteriores associados à RPDC, incluindo a Radiant Capital. Ele também destacou semelhanças operacionais, incluindo interações encenadas, entrega de malware através de canais confiáveis e limpeza rápida após execução.
O Drift Protocol enfatizou que todos os signatários de assinatura múltipla usaram carteiras frias durante o incidente. Continua a trabalhar com autoridades policiais e parceiros forenses para completar a investigação.
Fonte: https://coingape.com/drift-hack-update-protocol-shares-latest-security-update-on-april-1-exploit/
