Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Hackers da Coreia do Norte passaram 6 meses antes de roubarem US$ 285 milhões

Hackers vinculados à Coreia do Norte passaram seis meses se infiltrando antes de drenarem US$ 285 milhões da Drift Protocol

ilustração mostra sombra de hacker diante de bandeira da Coreia do Norte
0:00
Carregando...
0:00
  • Hackers de Coreia do Norte, ligados ao UNC4736 (AppleJeus/Citrine Sleet), investiram seis meses se infiltrando antes de drenar cerca de US$ 285 milhões da Drift Protocol, corretora descentralizada da Solana.
  • O ataque envolveu identidades forjadas, encontros presenciais em conferências e ferramentas de desenvolvedor para comprometer colaboradores, segundo a Drift.
  • A infiltração começou com aproximação em conferência de cripto no outono passado; ao longo de meses, houve construção de confiança, coordenação via Telegram e depósito de US$ 1 milhão de capital próprio antes do ataque.
  • Identificação aponta para uso de repositório de código malicioso, aplicativo falso do TestFlight e vulnerabilidade no VSCode/Cursor, que permitiram execução de código sem interação do usuário.
  • Profissionais de segurança observam que ataques se assemelham a operações de inteligência, com a atribuição ainda sendo analisada por organizações como a Mandiant; o consenso é de que a falha está na validação de transações, não apenas no número de signatários.

A Drift Protocol, corretora descentralizada baseada na rede Solana, informou neste domingo que o ataque que drenou cerca de US$ 285 milhões foi uma operação de inteligência estruturada de seis meses, conduzida por um grupo de ameaças afiliado ao estado da Coreia do Norte. A investida envolveu uso de identidades profissionais forjadas, encontros presenciais em conferências e ferramentas de desenvolvedor para comprometer colaboradores antes da execução.

Ao longo de meses, os invasores estabeleceram contato com funcionários em eventos, coordenaram-se via Telegram e chegaram a integrar um Ecosystem Vault da Drift, além de realizar um depósito de US$ 1 milhão de capital próprio antes de sumirem. As conversas e o malware teriam sido apagados após o ataque, segundo a própria Drift.

Entre as suspeitas iniciais, a plataforma aponta a possibilidade de um repositório de código malicioso, um aplicativo falso do TestFlight e uma falha no VSCode/Cursor que permitiria a execução silenciosa de código sem interação do usuário. Esses elementos indicam uma infiltração gradual antes da drenagem financeira.

A Drift atribuiu a autoria ao grupo UNC4736, também conhecido como AppleJeus ou Citrine Sleet, o mesmo ligado ao ataque à Radiant Capital em 2024, segundo a indústria de segurança. A suspeita envolve atores vinculados à RPDC que costumam utilizar intermediários para engajamento presencial.

Fluxos on-chain e perfis de atuação apontam para atores ligados à RPDC, conforme resposta de incidentes SEAL 911, ainda sem confirmação formal da Mandiant, que aguarda análise forense. A identificação dos responsáveis foi creditada a especialistas da equipe de resposta, apontando que a extensão do comprometimento pode ir além deste caso.

ImplicaçõEs para a indústria

Análise inicial indica que o padrão envolve enganar signatários para aprovar transações maliciosas, não a quebra direta de protocolos. A experiência aponta que carteiras multisignature elevam a sensação de segurança, sem eliminar o risco de fraude.

Especialistas destacam a necessidade de validar transações no nível da blockchain antes da execução, reduzindo dependência de interfaces e dispositivos. Também ressaltam que ferramentas de desenvolvimento e ambientes de assinatura representam superfícies de ataque cada vez mais relevantes para a segurança.

Observa-se que ataques podem explorar cadeias de confiança entre usuários, equipes e interfaces. A medida central é reforçar a verificação de intenções de transação, independentemente da fonte de interface apresentada ao usuário, para evitar manipulação de ações por meio de ferramentas de desenvolvimento.

Fonte: relatório de análise do incidente, com acompanhamento de especialistas em segurança de blockchain.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais