O Drift Protocol, uma corretora descentralizada de criptomoedas, sofreu um ataque de US$ 280 milhões na última quarta-feira (1º). A equipe publicou uma nota neste final de semana com mais informações sobre o caso.
Os desenvolvedores afirmam que o ataque foi realizado por hackers norte-coreanos do grupo AppleJeus, também conhecido como Citrine Sleet, que se infiltraram pessoalmente em conferências ao longo de seis meses para ganhar a confiança da equipe.
No mundo da segurança, isso é conhecido como um ataque de engenharia social, onde o elo fraco explorado não é a tecnologia, mas sim as pessoas.
Drift revela detalhes da perda de US$ 280 milhões
Os hackers teriam abordado a equipe ainda em outubro de 2025 por um grupo de indivíduos em uma grande conferência de criptomoedas. Eles afirmavam ser de uma empresa de trading quantitativo. Mais tarde, os desenvolvedores foram abordados pessoalmente em vários outros eventos pelas mesmas pessoas.
“Eles tinham fluência técnica, históricos profissionais verificáveis e conheciam bem o funcionamento do Drift.”
“Um grupo no Telegram foi criado após o primeiro encontro, e o que se seguiu foram meses de conversas substanciais sobre estratégias de trading e possíveis integrações de vaults. Essas interações são típicas da forma como empresas de trading interagem e fazem onboarding no Drift”, explicou a equipe.
No entanto, o texto aponta que tais indivíduos não eram cidadãos norte-coreanos, dificultando qualquer suspeita.
“Agentes da RPDC que operam nesse nível são conhecidos por utilizar intermediários de terceiros para conduzir a construção de relacionamentos presenciais”, detalhou a equipe.
Além dessa interação, os hackers também depositaram mais de US$ 1 milhão de capital próprio para a integração de um vault.
Após meses de conversas online e presenciais, os desenvolvedores do Drift afirmam que eles “não eram estranhos”, mas sim “pessoas com quem os colaboradores do Drift já haviam trabalhado e se encontrado presencialmente”.
— Drift (@DriftProtocol) April 5, 2026
Chats e outros rastros foram apagados
Buscando pistas para ligar o ataque a este grupo, os desenvolvedores do Drift afirmaram que os chats de conversas no Telegram, bem como softwares, foram completamente apagados após a perda.
Em relação ao ataque, o protocolo exigia uma assinatura com 2 de 6 chaves para aprovar uma transação.
O primeiro desenvolvedor teria sido comprometido após clonar um repositório dos hackers e o segundo ao baixar um aplicativo via TestFlight, apresentado como uma carteira deles.
“No caso do vetor baseado em repositório, uma possibilidade é uma vulnerabilidade conhecida no VSCode e no Cursor, que vinha sendo amplamente sinalizada pela comunidade de segurança entre dezembro de 2025 e fevereiro de 2026”, explicou a equipe do Drift.
“Bastava abrir um arquivo, pasta ou repositório no editor para que código arbitrário fosse executado silenciosamente, sem qualquer aviso ao usuário, cliques, diálogos de permissão ou alertas de qualquer tipo.”
Hackers norte-coreanos chamam atenção de especialistas em segurança
No texto, os desenvolvedores afirmam que os hackers norte-coreanos do grupo AppleJeus/Citrine Sleet, um braço do grupo Lazarus, foram os mesmos que roubaram mais de US$ 50 milhões da Radiant Capital, outro protocolo DeFi, em outubro de 2024.
Antes disso, esses hackers também roubaram US$ 1,5 bilhão da Bybit em 2025 e US$ 625 milhões da Ronin Network em 2022, dentre diversos outros ataques menores.
Um relatório publicado pelo Google em 2025 revela que o grupo está se espalhando pelo mundo, mirando não somente empresas de criptomoedas, mas também companhias de outros setores, incluindo governamentais.
Embora os métodos sejam diferentes, a estratégia aplicada é sempre a mesma: explorar as pessoas como a primeira vulnerabilidade.
