Exploração de Deriva Vinculada ao Esforço de Infiltração Coordenada

• O hack de deriva drenou US$ 285 milhões em 12 minutos, mas a operação foi construída ao longo de seis meses.
• Os atacantes usaram engenharia social e aprovações multisig pré-assinadas para o ataque.
• Um token falso (CVT) foi usado como garantia após manipular o precificação do oráculo com liquidez mínima.

O Drift Protocol divulgou uma análise detalhada do exploit de 1º de abril que drenou US$ 285 milhões em fundos dos usuários e confirmou que o ataque não foi um bug simples, mas uma operação coordenada e de longo prazo.

A equipe afirmou que o exploit foi resultado de meses de infiltração direcionada, que combinaram engenharia social, exploits técnicos e atividades encenadas na cadeia.

Infiltração de Seis Meses Levou à Invasão

De acordo com o Protocolo de Deriva , o ataque começou já no outono de 2025. Indivíduos que se passavam por uma empresa de trading quantitativo procuraram colaboradores em várias conferências de criptomoedas.

Eles construíram credibilidade ao longo do tempo, realizaram discussões técnicas, participaram de sessões de trabalho e depositaram mais de 1 milhão de dólares no protocolo. Um grupo no Telegram foi criado, e as interações continuaram por meses.

No início de 2026, eles já haviam se integrado totalmente ao ecossistema de Drift por meio de uma estratégia de cofre. Colaboradores já os conheceram pessoalmente várias vezes, e a confiança foi estabelecida, que se tornou o ponto de entrada.

A execução do ataque foi rápida, a preparação lenta

O exploit real levou cerca de 12 minutos, mas a preparação levou semanas on-chain e meses off-chain.

Os laboratórios TRM descobriram que a estadiamento começou em 11 de março. Atacantes usaram o Tornado Cash para financiar operações, implantaram um token falso chamado CarbonVote (CVT) e construíram histórico de preços artificial por meio de wash trading.

Ao mesmo tempo, eles miravam os signatários multiassinatura. Usando engenharia social, eles obtinham aprovações em transações que pareciam rotineiras, mas continham permissões ocultas.

Em 27 de março, uma mudança crítica foi feita. Drift migrou seu Conselho de Segurança para uma configuração 2/5 sem timelock e removeu a camada de atraso que poderia ter parado o ataque.

Em 1º de abril, tudo foi executado. O atacante listou a CVT como garantia, inflacionou seu valor manipulando dados do oráculo e retirou ativos reais como USDC em 31 transações. Os fundos foram transferidos para o Ethereum em poucas horas.

Pontos Fracos-Chave: Multisig e Design de Oráculos

A violação não se baseou em uma falha de contrato inteligente. Explorou as fraquezas do processo. Primeiro, signatários multisig aprovaram transações sem detectar ações ocultas.

Segundo, a remoção do bloqueio temporal eliminou a janela de segurança. Terceiro, o sistema oráculo aceitava um ativo falso com liquidez mínima como garantia válida.

A análise interna de Drift também aponta para um possível compromisso em nível de dispositivo. Um dos colaboradores pode ter sido exposto por meio de um repositório de código malicioso. Outro pode ter instalado um aplicativo TestFlight comprometido apresentado como uma carteira.

Uma vulnerabilidade conhecida em ferramentas de desenvolvimento como o VSCode pode ter permitido a execução silenciosa de código.

É importante notar que a Elliptic e a TRM Labs sinalizaram padrões ligados às operações norte-coreanas. Isso inclui o uso do Tornado Cash, horários alinhados com o horário de Pyongyang e lavagem rápida entre cadeias.

Drift afirmou que há confiança média-alta de que o mesmo grupo por trás do ataque à Radiant Capital em outubro de 2024 está envolvido. O grupo foi ligado a UNC4736, também conhecido como AppleJeus ou Citrine Sleet.

Relacionado: Violação do Protocolo de Deriva Desencadeia Perdas de Até $285 Milhões, Token Cai 42%