Violação de $280M no Drift Protocol: Meses de Preparação Deliberada

O Drift Protocol, a exchange descentralizada, afirma que a sua mais recente violação não foi um incidente aleatório, mas uma operação altamente coordenada de seis meses levada a cabo por uma rede estruturada de atores de ameaça. A avaliação preliminar da empresa descreve o ataque como uma campanha de estilo de inteligência que exigiu apoio organizacional, recursos substanciais e meses de preparação deliberada. Estimativas externas colocam as perdas em aproximadamente $280 milhões.

O Drift rastreou o plano até outubro de 2025, quando atacantes que se faziam passar por uma empresa de negociação quantitativa abordaram colaboradores do Drift numa grande conferência de cripto e sinalizaram interesse em integrar-se com o protocolo. Ao longo dos seis meses seguintes, o grupo envolveu colaboradores do Drift pessoalmente em múltiplos eventos da indústria. O Drift descreveu a abordagem como direcionada: indivíduos do grupo pareciam tecnicamente fluentes, tinham antecedentes profissionais verificáveis e estavam familiarizados com o funcionamento do Drift. Os atacantes aproveitaram reuniões presenciais para construir confiança, depois usaram payloads baseados em links partilhados e ferramentas para comprometer os dispositivos dos colaboradores, permitindo a exploração antes de apagar os seus rastros.

Conclusões principais

• A violação do Drift Protocol é descrita como uma operação coordenada de seis meses com uma estimativa de perda externa próxima de $280 milhões.
• A investigação aponta para uma campanha de recrutamento presencial na era das conferências, começando por volta de outubro de 2025, visando colaboradores do Drift.
• Os atacantes obtiveram acesso através de dispositivos comprometidos via links e ferramentas maliciosos, depois removeram qualquer vestígio da sua atividade após a execução.
• O Drift afirma uma possível ligação ao hack da Radiant Capital de outubro de 2024, sugerindo que os mesmos atores possam estar envolvidos, embora a atribuição permaneça matizada.
• A Radiant Capital descreveu o incidente de 2024 como malware entregue via Telegram por um hacker alinhado com a Coreia do Norte que se fazia passar por ex-contratante; o Drift adverte que os indivíduos vistos pessoalmente não eram nacionais norte-coreanos.
• O caso sublinha os riscos de segurança contínuos em conferências de cripto e a necessidade de diligência reforçada ao envolver-se com colaboradores externos.

Cronologia em desenvolvimento: da curiosidade da conferência à exploração

O relato do Drift indica que os atacantes começaram o seu envolvimento numa reunião proeminente da indústria, apresentando-se como potenciais parceiros de integração em vez de atacantes diretos. Ao longo dos meses seguintes, o grupo encontrou-se com colaboradores do Drift em vários eventos, construindo cuidadosamente relações e demonstrando uma compreensão técnica credível das operações do Drift. Esta fase ajudou os atacantes a ganhar acesso a canais internos e comunicações confiáveis, que depois se tornaram o canal para a própria exploração.

Segundo o Drift, a operação foi deliberadamente estruturada, com apoio organizado e recursos que permitiram aos atacantes manter uma campanha de longa duração. Os atacantes eventualmente implementaram ferramentas e links maliciosos através dos dispositivos comprometidos dos colaboradores do Drift, permitindo a violação. Após a exploração, os intrusos supostamente apagaram as suas pegadas digitais, complicando a resposta ao incidente e o trabalho forense para o Drift e os seus parceiros.

A violação serve como um lembrete sóbrio aos participantes no espaço cripto: mesmo interações presenciais em conferências—frequentemente vistas como oportunidades de networking—podem ser aproveitadas como vetores para atores de ameaça sofisticados e bem financiados. A dinâmica sublinha a importância de higiene estrita de dispositivos, práticas de segurança em camadas e colaboração cautelosa com terceiros num setor onde o tecido de confiança está firmemente entrelaçado com interoperabilidade.

Ligação à Radiant Capital: uma potencial linha de ligação, com ressalvas importantes

O Drift disse ter confiança alta a média-alta de que o mesmo grupo por trás do hack da Radiant Capital de outubro de 2024 possa estar conectado ao incidente do Drift. A violação da Radiant Capital foi divulgada em dezembro de 2024, com a empresa descrevendo a intrusão como malware entregue via Telegram por um ator alinhado com a Coreia do Norte que se fazia passar por ex-contratante. Nesse caso, um ficheiro ZIP partilhado para feedback entre programadores alegadamente entregou o malware que permitiu a intrusão.

O Drift enfatizou que os indivíduos que apareceram pessoalmente em conferências não eram nacionais norte-coreanos. A empresa também observou que atores de ameaça ligados à RPDC são conhecidos por usar intermediários de terceiros para conduzir construção de relações presenciais, um padrão observado noutros casos também. A conexão permanece uma questão de investigação em curso, e a atribuição em incidentes cibernéticos complexos muitas vezes evolui à medida que novas evidências surgem.

Para contexto, o incidente da Radiant Capital destacou como a engenharia social e payloads remotos podem convergir com construção de confiança presencial para violar até sistemas sofisticados. A convergência destas narrativas—recrutamento baseado em conferências, malware entregue através de dispositivos comprometidos e ligações a hacks anteriores de alto perfil—será escrutinada pelos investigadores enquanto montam a cadeia completa de eventos em torno da violação do Drift.

Investigação em curso e implicações para a indústria

O Drift disse estar a cooperar com as autoridades policiais e outros participantes da indústria para montar uma imagem completa do que aconteceu durante o ataque de 1 de abril. A divulgação da empresa sublinha a necessidade contínua de colaboração entre indústrias em inteligência de ameaças, resposta a incidentes e forense pós-violação. Embora o Drift não tenha divulgado todos os detalhes técnicos do comprometimento, a ênfase num esforço prolongado e coordenado aponta para um nível de sofisticação que se estende para além de intrusões oportunistas.

Para investidores e construtores no espaço DeFi, o incidente do Drift reforça várias conclusões práticas. Primeiro, até colaboradores de longa data e relações de confiança não são imunes a manipulação quando os atacantes misturam táticas presenciais com explorações técnicas. Segundo, a atribuição em campanhas sofisticadas pode ser ambígua, exigindo análises cuidadosas baseadas em evidências em vez de conclusões prematuras. Finalmente, o episódio destaca a necessidade contínua de arquiteturas de segurança robustas que possam detetar e conter intrusões em múltiplas fases, incluindo credenciais comprometidas, pontos de apoio ao nível do dispositivo e vestígios pós-exploração.

À medida que a investigação se desenrola, os leitores devem estar atentos a quaisquer atualizações sobre os métodos dos atacantes, novos indicadores de comprometimento e quaisquer mudanças programáticas na forma como o Drift e outros protocolos abordam o onboarding de colaboradores, integrações de parceiros e manuais de resposta a incidentes. A convergência de uma abordagem baseada em conferências de vários meses com uma potencial ligação a violações anteriores de alto perfil enfatiza um panorama de risco mais amplo enfrentado por plataformas descentralizadas à medida que escalam e colaboram através do ecossistema.

O que permanece incerto é a extensão total do impacto da violação nos utilizadores e liquidez do Drift, quão rapidamente a plataforma recuperará operacionalmente e se casos adicionais de atribuição reformularão a compreensão dos padrões de atores de ameaça no espaço DeFi. As próximas semanas serão fundamentais tanto para a transparência como para a postura de segurança numa indústria que cada vez mais depende de colaboração aberta e parcerias transfronteiriças para inovar.

Olhando em frente, os participantes do mercado vão querer monitorizar atualizações do Drift e investigadores de segurança relacionados para quaisquer novas descobertas sobre atores, ferramentas e as implicações mais amplas para governança DeFi, gestão de riscos e práticas de colaboração baseadas em conferências.

Este artigo foi originalmente publicado como Violação de $280M do Drift Protocol: Meses de Preparação Deliberada no Crypto Breaking News – a sua fonte confiável para notícias cripto, notícias Bitcoin e atualizações blockchain.