O protocolo Drift afirmou que o ataque de US$ 270 milhões, ocorrido em 1º de abril de 2026, resultou de uma operação conduzida ao longo de seis meses por um grupo associado à Coreia do Norte. A conclusão consta em relatório divulgado no último domingo. Assim, o caso passa a ser tratado como um dos episódios mais sofisticados já registrados no setor de finanças descentralizadas.

Segundo a equipe, o grupo foi identificado como UNC4736, também conhecido como Citrine Sleet e AppleJeus. Além disso, os invasores executaram um dos maiores ataques já registrados contra uma aplicação descentralizada na rede Solana. Para isso, se passaram por uma empresa de trading quantitativo, depositaram mais de US$ 1 milhão em um cofre do ecossistema e mantiveram contato contínuo com colaboradores ao redor do mundo.

Após meses construindo credibilidade, os hackers utilizaram um método conhecido como nonce durável. Como resultado, conseguiram drenar os cofres do protocolo em menos de um minuto. Dessa forma, o nível de preparação diferencia o incidente de ataques tradicionais em DeFi.

Operação indica avanço em ataques sofisticados

A Drift avalia que o episódio sinaliza uma evolução nas estratégias de roubo de criptomoedas associadas a atores estatais. Nesse sentido, medidas tradicionais, como auditorias de contratos inteligentes, podem não ser suficientes diante de adversários com planejamento prolongado. Ainda assim, o caso reforça a necessidade de abordagens de segurança mais amplas.

“Peço que todos no setor de cripto leiam isso por completo. Eu esperava que fosse mais um caso de engenharia social, provavelmente algo como proposta de emprego. Eu estava muito errado. A profundidade da operação e das identidades sugere que eles já podem ter outras equipes comprometidas.”

— @tayvano_ no X

Infiltração começou meses antes

O primeiro contato ocorreu no outono de 2025, durante uma conferência do setor. Na ocasião, o grupo se apresentou como uma empresa legítima interessada em integrar soluções ao protocolo. A princípio, não houve indícios de comportamento suspeito.

Em seguida, a relação evoluiu de forma típica no ecossistema DeFi. As conversas ocorreram via Telegram, com discussões técnicas sobre estratégias e arquitetura. Além disso, interações frequentes reforçaram a percepção de legitimidade.

Entre dezembro de 2025 e janeiro de 2026, o grupo criou um cofre dentro do ecossistema Drift e depositou capital próprio. Ao mesmo tempo, manteve presença ativa e participou de encontros presenciais em diferentes países, fortalecendo a confiança.

Segundo a investigação, os envolvidos não eram cidadãos norte-coreanos. Ainda assim, atuavam como intermediários com identidades profissionais consistentes, histórico verificável e presença digital estruturada.

Execução combinou engenharia social e falhas técnicas

“Bastante impressionante, se for confirmado. Resumo: os hackers ganharam confiança em uma conferência, criaram um canal no Telegram, tornaram-se clientes, desenvolveram integrações por seis meses e depois enviaram um link de teste para demonstrar o que haviam construído.”

— @mert no X

A invasão ocorreu por dois vetores principais. Em primeiro lugar, os atacantes distribuíram um aplicativo via TestFlight, apresentado como carteira digital. Em segundo lugar, exploraram uma vulnerabilidade em editores como VSCode e Cursor, na qual a abertura de arquivos podia acionar códigos maliciosos.

Com dispositivos comprometidos, os invasores obtiveram aprovações para transações multisig. Para isso, utilizaram o mecanismo de nonce durável da Solana, mantendo transações preparadas por mais de uma semana.

No dia 1º de abril, executaram o ataque. Em menos de 60 segundos, cerca de US$ 270 milhões foram drenados. Entre os ativos estavam 41,72 milhões de tokens JLP, posteriormente convertidos em outras criptomoedas via plataformas como Jupiter, Raydium, Orca e Meteora. Em seguida, os fundos foram transferidos para a rede Ethereum.

Rastreamento aponta ligação com grupo norte-coreano

A atribuição ao grupo UNC4736 se baseia na análise de movimentações on-chain. Os dados indicam conexões com carteiras associadas ao hack da Radiant Capital, em outubro de 2024. Além disso, há semelhanças com perfis operacionais analisados por empresas como Mandiant e SEALS 911.

O grupo estaria ligado ao Bureau Geral de Reconhecimento da Coreia do Norte, estrutura já associada a campanhas anteriores de malware, incluindo o AppleJeus. Nesse contexto, o episódio reforça padrões observados em operações patrocinadas por Estados.

Em conclusão, o caso combina infiltração prolongada, uso de identidades sofisticadas e execução técnica avançada. Como resultado, evidencia um novo patamar de ameaças no mercado de criptomoedas e amplia o debate sobre segurança em protocolos descentralizados.