A Drift Protocol, uma exchange descentralizada de criptomoedas (DEX), afirma que o recente ataque à plataforma foi um ataque altamente coordenado que durou seis meses.
“A investigação preliminar demonstra que a Drift foi alvo de uma operação de inteligência estruturada que exigiu apoio organizacional, recursos significativos e meses de preparação minuciosa”, afirmou a Drift em uma publicação no Twitter no sábado.
A exchange descentralizada foi alvo de um ataque na quarta-feira, com estimativas externas apontando para perdas em torno de US$ 280 milhões.
Tudo começou em uma "grande conferência de criptomoedas"
Segundo a Drift, o plano de ataque remonta a outubro de 2025, quando agentes maliciosos, fingindo ser uma empresa de negociação quantitativa, abordaram os colaboradores da Drift em uma "grande conferência de criptomoedas", alegando interesse em integrar-se ao protocolo.
O grupo continuou a interagir pessoalmente com os colaboradores em diversos eventos do setor nos seis meses seguintes. "Agora entendemos que essa parece ser uma abordagem direcionada, na qual indivíduos desse grupo continuaram a buscar e interagir deliberadamente com colaboradores específicos da Drift", afirmou a Drift.
“Eles tinham domínio técnico, experiência profissional comprovada e estavam familiarizados com o modo de operação da Drift”, disse a Drift.
Após conquistarem a confiança e o acesso ao Drift Protocol ao longo de seis meses, eles utilizaram links e ferramentas maliciosas compartilhadas para comprometer os dispositivos dos colaboradores, executar o exploit e, em seguida, apagaram imediatamente seus rastros após o ataque.
O incidente serve como um lembrete para os participantes da indústria de criptomoedas de que devem permanecer cautelosos e céticos, mesmo durante interações presenciais, já que as conferências sobre criptomoedas podem ser alvos privilegiados para agentes maliciosos sofisticados.
Drift indica uma alta probabilidade de ser um link de hack da Radiant Capital
A Drift afirmou, com "confiança média a alta", que a exploração foi realizada pelos mesmos agentes responsáveis pelo ataque hacker à Radiant Capital em outubro de 2024.
Em dezembro de 2024, a Radiant Capital afirmou que a exploração foi realizada por meio de um malware enviado via Telegram por um hacker alinhado à Coreia do Norte, que se fazia passar por um ex-contratado.
“Este arquivo ZIP, quando compartilhado para feedback entre outros desenvolvedores, acabou distribuindo um malware que facilitou a intrusão subsequente”, afirmou a Radiant Capital.
Drift afirmou que é “importante notar” que os indivíduos que compareceram pessoalmente “não eram cidadãos norte-coreanos”.
Relacionado: Naoris lança blockchain pós-quântico à medida que os riscos de segurança quântica ganham atenção
“Sabe-se que os agentes de ameaças da Coreia do Norte que operam nesse nível utilizam intermediários terceirizados para estabelecer relacionamentos presenciais”, disse Drift.
A Drift afirmou estar trabalhando com as autoridades policiais e outros membros da indústria de criptomoedas para "construir um panorama completo do que aconteceu durante o ataque de 1º de abril".
