O Drift Protocol afirmou que o ataque de 1 de abril na sua plataforma foi precedido por meses de planeamento e engenharia social

Resumo

• O Drift disse que os atacantes passaram seis meses a criar confiança antes de utilizarem ferramentas maliciosas para violar dispositivos de colaboradores.
• A bolsa associou o exploit com confiança média-alta aos atores responsáveis pelo hack de outubro de 2024 da Radiant Capital.
• O Drift disse que o contacto repetido em encontros presenciais em eventos do setor cripto ajudou os atacantes a estudar os colaboradores e a obter acesso.

A bolsa descentralizada associou o caso a um grupo que passou algum tempo a criar confiança com os colaboradores antes de enviar ferramentas e ligações maliciosas. Estimativas externas apontam a perda em cerca de 280 milhões de dólares.

O Drift Protocol afirmou que a sua análise inicial encontrou uma campanha longa e organizada contra a plataforma. A equipa disse que os atacantes demonstraram “apoio organizacional, recursos e meses de preparação deliberada” durante a operação.

A bolsa disse que o contacto começou por volta de outubro de 2025. De acordo com o Drift, pessoas que se faziam passar por membros de uma firma de negociação quantitativa abordaram colaboradores num grande congresso cripto e afirmaram que queriam integrar-se no protocolo.

Reuniões presenciais criaram confiança ao longo do tempo

O Drift disse que o grupo continuou a reunir-se com colaboradores em vários eventos do setor ao longo dos seis meses seguintes. A equipa afirmou que as pessoas envolvidas eram tecnicamente competentes, sabiam como o Drift funciona e aparentavam ter carreiras profissionais reais.

Esse contacto constante ajudou o grupo a ganhar confiança. O Drift disse que, mais tarde, os atacantes utilizaram ligações e ferramentas maliciosas partilhadas com os colaboradores para comprometer dispositivos, executar o exploit e remover vestígios da sua atividade após a violação.

Além disso, o Drift disse que tem “confiança média-alta” de que os mesmos atores por trás do hack da Radiant Capital de outubro de 2024 levaram a cabo este exploit. Esse ataque anterior causou perdas de cerca de 58 milhões de dólares e também envolveu malware usado para obter acesso a sistemas internos.

A Radiant Capital afirmou em dezembro de 2024 que um hacker alinhado com a Coreia do Norte se fez passar por um antigo subcontratado e enviou malware através do Telegram. A Radiant disse que “este ficheiro ZIP” mais tarde se espalhou entre programadores para feedback e abriu caminho para a intrusão.

O Drift alerta que conferências podem tornar-se alvos de ataque

O Drift disse que as pessoas que encontraram os colaboradores presencialmente “não eram nacionais norte-coreanos”. Ao mesmo tempo, a equipa disse que atores de ameaça ligados ao DPRK utilizam frequentemente intermediários terceiros para contacto presencial e construção de relações.

A bolsa disse que está agora a trabalhar com as autoridades policiais e com outros participantes da indústria cripto para construir um registo completo do ataque de 1 de abril

O caso também acrescentou um aviso recente para empresas cripto, uma vez que conferências e reuniões presenciais podem dar a grupos de ameaça a oportunidade de estudar equipas, criar confiança e preparar ataques posteriores.