Um ataque recente estimado em cerca de US$ 280 milhões contra o Drift Protocol expôs mais do que um incidente isolado. O episódio reforça preocupações mais amplas sobre infiltrações prolongadas no ecossistema de DeFi, possivelmente conduzidas por agentes ligados à Coreia do Norte ao longo dos últimos anos.

Presença prolongada expõe fragilidades estruturais

Taylor Monahan, desenvolvedora associada à MetaMask e pesquisadora de segurança, afirmou que profissionais de tecnologia ligados ao país asiático teriam atuado em mais de 40 projetos DeFi desde o chamado “DeFi Summer”, em 2020. Segundo ela, muitos desses indivíduos participaram diretamente do desenvolvimento dos protocolos.

Embora os currículos apresentados não fossem necessariamente falsos, o histórico desses profissionais levantou suspeitas posteriormente. Em outras palavras, parte da infraestrutura pode ter sido construída com contribuições potencialmente comprometidas desde a origem. Assim, o risco não se limita a ataques externos, mas também envolve vulnerabilidades internas.

Projetos como Sushi, Thorchain, Yam, Pickle, Harvest, entre outros, foram citados em discussões sobre possíveis exposições no ecossistema.

O grupo Lazarus, frequentemente associado ao governo norte-coreano, aparece de forma recorrente em investigações desse tipo. Estimativas amplamente citadas indicam que a organização pode ter desviado bilhões de dólares do mercado de criptomoedas desde 2017, embora os valores exatos variem conforme a metodologia de análise.

Relatos indicam que, apenas em 2026, o grupo teria realizado dezenas de ataques em poucos meses, utilizando os recursos obtidos para financiar atividades estatais.

Entre os casos mais relevantes frequentemente associados a esses agentes estão o ataque à Ronin Bridge, em 2022, com perdas de cerca de US$ 625 milhões, além de outros incidentes relevantes no setor. Esses episódios, portanto, reforçam a escala e a sofisticação das operações.

Intermediários ampliam complexidade das operações

No caso do Drift Protocol, um ponto chamou atenção: interações presenciais ligadas ao ataque não envolveram diretamente cidadãos norte-coreanos. Em vez disso, intermediários teriam sido utilizados, o que dificulta a identificação dos responsáveis.

Esses agentes intermediários usaram identidades falsas e históricos profissionais fabricados. Ao mesmo tempo, construíram redes de contato consistentes, o que permitiu atravessar processos de verificação corporativa sem levantar suspeitas imediatas.

Bitcoin sendo negociado próximo de US$ 69.379. Fonte: TradingView

O grupo Lazarus é frequentemente descrito como um coletivo que reúne diferentes atores cibernéticos patrocinados pelo Estado norte-coreano.

O investigador blockchain ZachXBT destacou que muitas dessas operações não dependem exclusivamente de alta complexidade técnica. Pelo contrário, estratégias de engenharia social seguem sendo amplamente utilizadas. Entre elas, destacam-se abordagens via LinkedIn, propostas de emprego e entrevistas online.

Segundo o analista, empresas que ainda sucumbem a esse tipo de abordagem demonstram fragilidades relevantes em seus processos internos. Ainda assim, medidas básicas de verificação já seriam suficientes para reduzir significativamente esses riscos.

Medidas de segurança e implicações para o setor

Para mitigar ameaças, especialistas apontam o uso de bases públicas como as do Office of Foreign Assets Control (OFAC), que ajudam a identificar conexões suspeitas. Além disso, processos mais rigorosos de contratação e auditorias contínuas tornam-se essenciais.

Como resultado, o cenário indica que ataques desse tipo não são pontuais, mas parte de estratégias de longo prazo. Portanto, o setor de DeFi precisa evoluir continuamente em segurança, a fim de reduzir a exposição a infiltrações e prejuízos bilionários.

Em suma, o caso reforça que a combinação de falhas operacionais, engenharia social e possíveis infiltrações internas segue sendo um dos principais desafios estruturais do mercado cripto.