Acabo de ler uma análise bastante preocupante sobre o que aconteceu com o Drift Protocol recentemente.

Resultado que o exploit de 270 milhões de dólares não foi um ataque aleatório, mas uma operação de inteligência norte-coreana meticulosamente planejada que durou aproximadamente seis meses.

O mais preocupante é como eles fizeram isso.
Um grupo afiliado ao Estado norte-coreano se infiltrou no ecossistema do Drift fingindo ser uma firma de trading quantitativo.
Para entender o que é o Drift e como funciona, você precisa saber que é um protocolo DeFi que se baseia em múltiplas assinaturas para segurança.
Bem, esses atacantes foram incrivelmente pacientes e sofisticados.
Primeiro, fizeram contato por volta do outono de 2025 em uma conferência importante de criptomoedas, apresentando-se como especialistas em trading.
Eles tinham credenciais profissionais verificáveis, falavam a linguagem técnica do protocolo e sabiam exatamente o que dizer.

Durante meses, mantiveram conversas substanciais sobre estratégias e cofres do ecossistema, algo completamente normal na forma como firmas se integram em protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, incorporaram um Cofre do Ecossistema, realizaram sessões de trabalho com colaboradores do Drift, depositaram mais de um milhão de dólares de seu próprio capital e se estabeleceram operacionalmente dentro do ecossistema.
O mais audacioso foi que se reuniram pessoalmente com as equipes do Drift em múltiplas conferências importantes durante fevereiro e março.
Para abril, quando lançaram o ataque, a relação tinha quase meio ano de antiguidade.

A infiltração ocorreu através de dois vetores técnicos.
Primeiro, baixaram um aplicativo do TestFlight, a plataforma da Apple que distribui apps em versão preliminar sem revisão de segurança, apresentando-o como seu produto de carteira.
Segundo, exploraram uma vulnerabilidade conhecida no VSCode e Cursor, dois dos editores de código mais usados em desenvolvimento, onde simplesmente abrir um arquivo executava código arbitrário sem aviso.
Uma vez comprometidos os dispositivos, obtiveram o necessário para conseguir as duas aprovações multisig que permitiram o ataque de 1º de abril, drenando 270 milhões de dólares em menos de um minuto.

Os investigadores atribuíram tudo isso ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet, um grupo afiliado ao Estado norte-coreano.
O que é interessante é que os indivíduos que se reuniram pessoalmente não eram cidadãos norte-coreanos, mas intermediários com identidades completamente construídas, históricos profissionais falsos e redes profissionais projetadas para passar qualquer verificação.

Isso expõe algo desconfortável para toda a indústria DeFi:
se os atacantes estão dispostos a investir seis meses e um milhão de dólares para construir uma presença legítima, reunir-se com equipes pessoalmente e esperar pacientemente,
qual modelo de segurança está realmente projetado para detectar isso?
O Drift agora alerta que a indústria deve auditar contratos de acesso e tratar cada dispositivo que interage com multisigs como um objetivo potencial.
A questão fundamental é se as multisigs, como principal modelo de segurança em DeFi, são suficientes contra adversários desse nível.