Acabei de ler o relatório de incidente da Drift sobre aquele exploit de $270 milhões em abril, e honestamente, o nível de sofisticação aqui é meio louco. Isso não foi um hack aleatório — estamos falando de uma operação de inteligência de seis meses por um grupo ligado ao Estado norte-coreano que basicamente se infiltrou no protocolo antes de realizar o ataque.

Então, aqui está como aconteceu. Por volta do outono de 2025, esses atores apareceram numa grande conferência de criptomoedas disfarçados de uma firma de trading quantitativo. Eles tinham habilidades técnicas, históricos legítimos e realmente entendiam o protocolo da Drift. Nos meses seguintes, passaram por um processo de onboarding que parecia totalmente normal — criaram um grupo no Telegram, tiveram conversas reais sobre estratégias de trading e integrações de vaults, depositaram mais de $1 milhões de seu próprio dinheiro, e até se encontraram pessoalmente com colaboradores da Drift em várias conferências em diferentes países, até fevereiro e março.

Quando executaram o exploit em 1º de abril, já tinham construído essa relação por quase seis meses. Esse é o tipo de paciência que a maioria dos atacantes não tem.

A vulnerabilidade real veio por dois vetores inteligentes. Primeiro, eles convenceram pessoas a baixarem um aplicativo de carteira falso pelo TestFlight, que ignora o processo de revisão de segurança da Apple. Segundo, exploraram uma vulnerabilidade conhecida no VSCode e Cursor, sobre a qual a comunidade de segurança vinha alertando desde o final de 2025 — basicamente, abrir um arquivo no editor podia executar silenciosamente código arbitrário sem avisos.

Uma vez que os dispositivos estavam comprometidos, eles tinham acesso para obter as aprovações multisig necessárias. Transações pré-assinadas ficaram inativas por mais de uma semana antes de serem executadas em 1º de abril, drenando $270 milhões em menos de um minuto.

Os investigadores rastrearam isso até o UNC4736, também conhecido como AppleJeus ou Citrine Sleet — o mesmo grupo por trás do ataque à Radiant Capital. Curiosamente, as pessoas que realmente apareceram nas conferências não eram cidadãos norte-coreanos. Esses atores usam identidades de terceiros totalmente construídas, com históricos de emprego e redes profissionais criadas para passar por verificações de due diligence.

O que realmente assusta nisso é a questão mais ampla que isso levanta para DeFi. Se atacantes estão dispostos a gastar seis meses e um milhão de dólares construindo uma presença legítima, encontrando equipes pessoalmente, contribuindo com capital real e esperando o momento certo — que modelo de segurança realmente consegue detectar isso? A Drift está alertando outros protocolos para auditar controles de acesso e tratar cada dispositivo que acessa uma multisig como um potencial alvo. Mas a dura verdade é que a governança multisig, que a maior parte da indústria usa como seu principal modelo de segurança, pode ter algumas fraquezas estruturais profundas diante de um nível de sofisticação como esse.

Esse tipo de incidente faz você repensar o que significa "seguro" em escala.