Acabei de ler o relatório detalhado publicado pela Drift sobre o exploit de 270 milhões de dólares e, francamente, é inquietante. Não estamos falando de um ataque convencional, mas de uma operação de inteligência estatal que durou praticamente seis meses.

A forma como tudo se desenvolveu é o que mais me chama a atenção. Segundo a análise da Drift, um grupo afiliado ao Estado norte-coreano se apresentou numa conferência importante de criptomoedas por volta do outono de 2025 como uma firma de trading quantitativo. Isto não foi improvisado. Eles tinham credenciais profissionais verificáveis, conhecimento técnico legítimo sobre como funcionava o protocolo, e sabiam exatamente como se integrar em ecossistemas DeFi.

Durante os meses seguintes, entre dezembro de 2025 e janeiro, o grupo incorporou uma Câmera do Ecossistema na Drift, realizou sessões de trabalho com os colaboradores, depositou mais de um milhão de dólares do seu próprio capital e posicionou-se como atores legítimos. Inclusive, reuniram-se pessoalmente com a equipa da Drift em múltiplas conferências internacionais em fevereiro e março. Para quando executaram o ataque a 1 de abril, já tinham quase meio ano construindo essa presença.

A infiltração técnica foi sofisticada. Comprometeram dispositivos através de dois vetores principais. Primeiro, distribuíram uma aplicação falsa do TestFlight, a plataforma da Apple que evita a revisão de segurança da App Store. Segundo, aproveitaram uma vulnerabilidade conhecida no VSCode e Cursor, que a comunidade de segurança vinha denunciando desde o final de 2025. Basta abrir um arquivo nestes editores para executar código arbitrário sem avisos.

Uma vez dentro, obtiveram o necessário para conseguir as duas aprovações multisig. As transações pré-assinadas permaneceram inativas durante mais de uma semana antes de serem executadas a 1 de abril, drenando 270 milhões de dólares dos depósitos do protocolo em menos de um minuto.

Os investigadores atribuíram o ataque ao UNC4736, também conhecido como AppleJeus ou Citrine Sleet, baseando-se nos fluxos de fundos na cadeia e na sobreposição operacional com atores ligados à Coreia do Norte. Embora os indivíduos que se apresentaram em conferências não fossem cidadãos norte-coreanos, é prática padrão que atores de ameaça desse nível utilizem intermediários com identidades completamente construídas e antecedentes profissionais desenhados para passar auditorias de diligência devida.

O que a Drift está a indicar é desconfortável para toda a indústria. Se os atacantes estão dispostos a investir seis meses, um milhão de dólares e paciência para construir uma presença legítima dentro de um ecossistema, que modelo de segurança está realmente desenhado para detectar isso? Os protocolos dependem de multisig como sua principal defesa, mas esta operação expõe fraquezas profundas nesse modelo quando se enfrenta adversários estatais com recursos ilimitados.

A Drift está a instar outros protocolos a auditar controles de acesso e tratar cada dispositivo que interaja com uma multisig como um objetivo potencial. É um lembrete de que, no DeFi, a confiança continua a ser o vetor de ataque mais eficaz, mesmo quando se tenta eliminá-la da equação.