A 1 de abril, um ataque informático atingiu o conhecido acordo de derivados Drift Protocol na rede Solana, causando perdas de cerca de 285 milhões de dólares. O montante bloqueado na plataforma (TVL) caiu de cerca de 550 milhões de dólares antes do incidente para cerca de 230 milhões de dólares após o ataque. A equipa do Drift publicou, em seguida, um relatório de investigação detalhado, revelando que se tratou de um ataque de engenharia social, com duração de 6 meses, apoiado por recursos a nível nacional.
6 meses de espera: de uma conferência cripto a um repositório de código
De acordo com a investigação do Drift, o atacante começou a preparar o ataque já no outono de 2025. Apresentando-se como uma empresa legítima de negociação quantitativa, contactaram colaboradores do Drift em várias conferências de criptomoedas, criando relações profissionais aparentemente reais. Durante a infiltração de 6 meses, o atacante:
Criou um grupo Telegram para discutir estratégias de negociação com a equipa do Drift
Estabeleceu credibilidade ao criar, com dinheiro real (mais de 1 milhão de dólares), uma posição nos Vaults do ecossistema
Realizou várias reuniões de trabalho em múltiplos países
Por fim, a intrusão poderá ter sido realizada através de dois canais: um colaborador copiou um repositório de código que poderia explorar uma vulnerabilidade conhecida do VSCode/Cursor; e outro colaborador descarregou a TestFlight App disponibilizada pelo atacante sob a designação de “produto para carteiras”.
Técnicas de ataque: transações pré-assinadas com Durable Nonce para contornar multisig
Do ponto de vista técnico, o atacante utilizou o mecanismo de conta “Durable Nonce” na Solana — uma funcionalidade que permite pré-assinar transações e adiar a execução. O atacante recorreu a isto para preparar, antecipadamente, todas as assinaturas das transações maliciosas; depois, uma vez obtidas permissões suficientes, executou-as instantaneamente, deixando ao lado da defesa muito pouco tempo de reação.
O atacante obteve rapidamente o controlo da comissão de segurança do Drift e, em seguida, esvaziou os ativos relacionados. Mais tarde, o Drift salientou que todos os membros do multisig utilizavam carteiras frias, mas ainda assim não foi possível impedir o ataque, demonstrando que “quando o ataque bloqueia a camada humana, mesmo uma gestão rigorosa do hardware pode ser contornada”.
Aponte para a Coreia do Norte UNC4736: com o mesmo grupo por detrás do ataque a Radiant Capital
O Drift afirmou que atribuiu o ataque à UNC4736 (também conhecida como Citrine Sleet, AppleJeus) com “elevada confiança”. Trata-se de uma organização de hackers com ligações ao governo norte-coreano. A investigação indica que o padrão do incidente coincide fortemente com o ataque de outubro de 2024 que levou a Radiant Capital a perder 58 milhões de dólares, levando a crer que foi levado a cabo pelo mesmo grupo de autores.
Criticaram a Circle: por que não conseguiu congelar imediatamente o USDC roubado?
Após o ataque, outro foco controverso foi a rapidez da resposta da Circle. De acordo com dados da PeckShield, o atacante roubou cerca de 71 milhões de dólares em USDC do Drift e, após converter outros ativos roubados para USDC, transferiu cerca de 232 milhões de dólares em USDC da ponte da Solana para a Ethereum através do protocolo de transferência cross-chain (CCTP) da Circle, tornando a recuperação significativamente mais difícil.
O investigador on-chain ZachXBT criticou a ação da Circle por ter sido demasiado lenta, apontando um contraste irónico: no mesmo dia em que o atacante configurou a conta Durable Nonce (23 de março), a Circle, no espaço de poucos minutos, congelou 16 carteiras quentes comerciais, na sequência de um processo civil norte-americano — mas, perante um ataque DeFi muito superior a nove dígitos, não houve uma ação com a mesma rapidez.
A resposta da Circle foi: “A Circle é uma empresa regulada e opera em conformidade com as regras de sanções, ordens de aplicação da lei e ordens do tribunal. Congelamos ativos quando legalmente exigido, para cumprir o Estado de direito e proteger os direitos e a privacidade dos utilizadores.” O consultor jurídico da Plume, por sua vez, apelou para que o órgão legislativo crie um mecanismo de “porto seguro”, permitindo que os emissores de stablecoins possam congelar ativos quando existam fundamentos razoáveis para acreditar que os fundos estão associados a atividades ilegais, sem incorrer em responsabilidade civil.
Aviso para a indústria DeFi
O anúncio do Drift gerou grande atenção no setor. Este ataque deixa claro que organizações de hackers a nível nacional estão a levar a cabo operações de inteligência humana (HUMINT) durante meses contra protocolos DeFi, e não apenas a explorar vulnerabilidades técnicas. As lições essenciais incluem: não copiar repositórios externos em máquinas que lidam com chaves de produção ou multisig; não instalar aplicações de terceiros nem abrir ligações desconhecidas; e garantir, de forma integral, o isolamento dos dispositivos e das permissões de acesso.
Este artigo: Drift Protocol roubado de 285 milhões de dólares — hackers norte-coreanos preparam-se durante 6 meses, usando Durable Nonce para contornar o multisig — aparece pela primeira vez em Notícias da cadeia ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
