Acabei de ler uma análise bastante preocupante sobre o que aconteceu com o Drift Protocol recentemente.

Resulta que o exploit de 270 milhões de dólares não foi um ataque aleatório, mas uma operação de inteligência norte-coreana meticulosamente planeada que durou aproximadamente seis meses.

O mais preocupante é como o fizeram.
Um grupo afiliado ao Estado norte-coreano infiltrou-se no ecossistema do Drift fingindo ser uma firma de trading quantitativo.
Para entender o que é o Drift e como funciona, é preciso saber que é um protocolo DeFi que se baseia em múltiplas assinaturas para segurança.
Pois bem, esses atacantes foram incrivelmente pacientes e sofisticados.
Primeiro, fizeram contato por volta do outono de 2025 numa conferência importante de criptomoedas, apresentando-se como especialistas em trading.
Tinham credenciais profissionais verificáveis, falavam a linguagem técnica do protocolo e sabiam exatamente o que dizer.

Durante meses, mantiveram conversas substanciais sobre estratégias e cofres do ecossistema, algo completamente normal na forma como as firmas se integram em protocolos DeFi.
Entre dezembro de 2025 e janeiro de 2026, incorporaram um Cofre do Ecossistema, realizaram sessões de trabalho com colaboradores do Drift, depositaram mais de um milhão de dólares do seu próprio capital e estabeleceram-se operacionalmente dentro do ecossistema.
O mais audacioso foi que se reuniram pessoalmente com as equipas do Drift em múltiplas conferências importantes durante fevereiro e março.
Para abril, quando lançaram o ataque, a relação tinha quase meio ano de antiguidade.

A infiltração ocorreu através de dois vetores técnicos.
Primeiro, descarregaram uma aplicação do TestFlight, a plataforma da Apple que distribui apps em versão preliminar sem revisão de segurança, apresentando-a como o seu produto de carteira.
Segundo, exploraram uma vulnerabilidade conhecida no VSCode e Cursor, dois dos editores de código mais usados em desenvolvimento, onde simplesmente abrir um arquivo executava código arbitrário sem aviso.
Uma vez comprometidos os dispositivos, obtiveram o necessário para conseguir as duas aprovações multisig que permitiram o ataque de 1 de abril, drenando 270 milhões de dólares em menos de um minuto.

Os investigadores atribuíram tudo isso ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet, um grupo afiliado ao Estado norte-coreano.
O interessante é que os indivíduos que se reuniram pessoalmente não eram cidadãos norte-coreanos, mas intermediários com identidades completamente construídas, históricos laborais falsos e redes profissionais desenhadas para passar qualquer verificação.

Isto expõe algo desconfortável para toda a indústria DeFi:
se os atacantes estão dispostos a investir seis meses e um milhão de dólares para construir uma presença legítima, reunir-se com equipas pessoalmente e esperar pacientemente,
que modelo de segurança está realmente desenhado para detectar isso?
O Drift agora alerta que a indústria deve auditar contratos de acesso e tratar cada dispositivo que interage com multisigs como um objetivo potencial.
A questão fundamental é se as multisigs, como principal modelo de segurança em DeFi, são suficientes contra adversários deste nível.