- Hackers de Coreia do Norte, ligados ao UNC4736 (AppleJeus/Citrine Sleet), investiram seis meses se infiltrando antes de drenar cerca de US$ 285 milhões da Drift Protocol, corretora descentralizada da Solana.
- O ataque envolveu identidades forjadas, encontros presenciais em conferências e ferramentas de desenvolvedor para comprometer colaboradores, segundo a Drift.
- A infiltração começou com aproximação em conferência de cripto no outono passado; ao longo de meses, houve construção de confiança, coordenação via Telegram e depósito de US$ 1 milhão de capital próprio antes do ataque.
- Identificação aponta para uso de repositório de código malicioso, aplicativo falso do TestFlight e vulnerabilidade no VSCode/Cursor, que permitiram execução de código sem interação do usuário.
- Profissionais de segurança observam que ataques se assemelham a operações de inteligência, com a atribuição ainda sendo analisada por organizações como a Mandiant; o consenso é de que a falha está na validação de transações, não apenas no número de signatários.
A Drift Protocol, corretora descentralizada baseada na rede Solana, informou neste domingo que o ataque que drenou cerca de US$ 285 milhões foi uma operação de inteligência estruturada de seis meses, conduzida por um grupo de ameaças afiliado ao estado da Coreia do Norte. A investida envolveu uso de identidades profissionais forjadas, encontros presenciais em conferências e ferramentas de desenvolvedor para comprometer colaboradores antes da execução.
Ao longo de meses, os invasores estabeleceram contato com funcionários em eventos, coordenaram-se via Telegram e chegaram a integrar um Ecosystem Vault da Drift, além de realizar um depósito de US$ 1 milhão de capital próprio antes de sumirem. As conversas e o malware teriam sido apagados após o ataque, segundo a própria Drift.
Entre as suspeitas iniciais, a plataforma aponta a possibilidade de um repositório de código malicioso, um aplicativo falso do TestFlight e uma falha no VSCode/Cursor que permitiria a execução silenciosa de código sem interação do usuário. Esses elementos indicam uma infiltração gradual antes da drenagem financeira.
A Drift atribuiu a autoria ao grupo UNC4736, também conhecido como AppleJeus ou Citrine Sleet, o mesmo ligado ao ataque à Radiant Capital em 2024, segundo a indústria de segurança. A suspeita envolve atores vinculados à RPDC que costumam utilizar intermediários para engajamento presencial.
Fluxos on-chain e perfis de atuação apontam para atores ligados à RPDC, conforme resposta de incidentes SEAL 911, ainda sem confirmação formal da Mandiant, que aguarda análise forense. A identificação dos responsáveis foi creditada a especialistas da equipe de resposta, apontando que a extensão do comprometimento pode ir além deste caso.
ImplicaçõEs para a indústria
Análise inicial indica que o padrão envolve enganar signatários para aprovar transações maliciosas, não a quebra direta de protocolos. A experiência aponta que carteiras multisignature elevam a sensação de segurança, sem eliminar o risco de fraude.
Especialistas destacam a necessidade de validar transações no nível da blockchain antes da execução, reduzindo dependência de interfaces e dispositivos. Também ressaltam que ferramentas de desenvolvimento e ambientes de assinatura representam superfícies de ataque cada vez mais relevantes para a segurança.
Observa-se que ataques podem explorar cadeias de confiança entre usuários, equipes e interfaces. A medida central é reforçar a verificação de intenções de transação, independentemente da fonte de interface apresentada ao usuário, para evitar manipulação de ações por meio de ferramentas de desenvolvimento.
Fonte: relatório de análise do incidente, com acompanhamento de especialistas em segurança de blockchain.
Entre na conversa da comunidade