Conheça as melhores histórias do mercado cripto, com a news da Paradigma.

Não esqueça de pegar seu NFT no fim do artigo 🎁

🇰🇵 Eles Foram nas Conferências, Apertaram Mãos e Roubaram US$285 Milhões

A Drift é a maior DEX de futuros perpétuos da Solana. Ou era até 1º de abril. Nesse dia, o protocolo perdeu US$285 milhões em 12 minutos.

Mas por trás disso rolou uma operação de inteligência estatal que durou seis meses, envolveu encontros presenciais em pelo menos três conferências internacionais e custou mais de US$1 milhão em capital investido — tudo bancado por um grupo ligado ao governo da Coreia do Norte.

O atacante submeteu 31 transações na Solana usando um mecanismo legítimo que mantém transações pré-assinadas válidas por tempo indeterminado. Duas transações, com quatro slots de diferença, tomaram o controle administrativo do Security Council da Drift.

Quando a equipe percebeu, já era tarde. O protocolo inteiro foi congelado - e continua até hoje.

🎭 A Firma que Nunca Existiu

Tudo começou em setembro de 2025, numa conferência cripto.

Um grupo se apresentou como uma firma de quant trading interessada em integrar com a Drift. Tecnicamente fluentes, com históricos profissionais verificáveis e familiarizados com a arquitetura do protocolo.

Criaram um grupo no Telegram e começaram conversas sobre estratégias de trading e integrações de vaults.

Nos meses seguintes, essas mesmas pessoas apareceram presencialmente em múltiplas conferências, em múltiplos países, sempre buscando os mesmos contribuidores da Drift.

Próximo à virada de ano, a firma falsa deu o passo decisivo: abriu um vault de gestão ativa na Drift. Preencheram formulário com detalhes da estratégia, participaram de sessões de trabalho e depositaram mais de US$1 milhão do próprio bolso.

Pra Drift, aquilo era padrão. É exatamente assim que firmas de trading interagem com protocolos DeFi.

💻 O Repositório Envenenado e o App Falso

A infiltração social abriu caminho pra dois vetores de comprometimento técnico.

O repositório envenenado. A firma de fachada compartilhou um repositório de código sob o pretexto de construir um frontend pro vault deles. Um contribuidor da Drift clonou e abriu o projeto no VS Code. Fim. Não precisou clicar em nada, aceitar nenhum prompt, dar nenhuma permissão. O repositório continha um arquivo com uma funcionalidade do VS Code que executa código automaticamente ao abrir uma pasta, sem nenhum aviso pro usuário.

O app falso. Outro contribuidor foi convencido a baixar um app via Apple TestFlight — a plataforma de beta testing da Apple que ignora completamente a revisão de segurança da App Store. O app foi apresentado como o produto de carteira da firma.

Quando o hack foi executado em 1º de abril, os atacantes apagaram simultaneamente todo o histórico do Telegram e removeram o malware dos dispositivos comprometidos.

🔑 A Multisig Sem Trava

Aqui está o detalhe que transformou comprometimento de dispositivos em US$285 milhões roubados.

A Drift operava um multisig 2-de-5 via Squads Protocol. Ou seja, bastavam duas assinaturas de cinco para autorizar transações. Em 27 de março, quatro dias antes do ataque, a Drift migrou essa multisig para uma nova configuração com timelock zero. Sem nenhum período de espera entre assinatura e execução.

Os atacantes já tinham comprometido dois dos cinco signatários. As transações maliciosas foram pré-assinadas e ficaram dormentes por mais de uma semana até o dia D.

🇰🇵 O Fantasma já Conhecido

A equipe de segurança SEAL 911 — que inclui Taylor Monahan, referência em investigação on-chain — atribui o ataque ao UNC4736, um grupo hacker ligado ao governo norte-coreano. É o mesmo grupo por trás do hack da Radiant Capital em 2024.

A evidência principal é dupla.

On-chain: os fluxos de fundos usados para preparar e testar a operação Drift rastreiam diretamente até carteiras do ataque à Radiant Capital, de outubro de 2024 — quando US$50 milhões foram roubados via engenharia social pelo Telegram.

No operacional: as personas usadas na campanha Drift se sobrepõem a atividade conhecida da Coréia do Norte.

Um detalhe crucial do relatório da Drift:

“Os indivíduos que apareceram presencialmente não eram cidadãos norte-coreanos.” A Coréia do Norte usa intermediários terceirizados pra relacionamento presencial — pessoas com identidades inteiramente fabricadas, incluindo históricos de emprego, credenciais profissionais e redes no LinkedIn que resistem a escrutínio.

A Mandiant foi contratada pra investigação forense, mas ainda não emitiu atribuição formal. O FBI também não se pronunciou publicamente.

💸 232 Milhões em USDC e a Circle Não Fez Nada

Depois do roubo, os tokens foram rapidamente trocados por USDC via Jupiter. Aproximadamente US$232 milhões em USDC foram enviados da Solana pra Ethereum via CCTP da Circle. Mais de 100 transações ao longo de seis horas consecutivas, durante horário comercial nos EUA.

A Circle não congelou nada.

A justificativa oficial: a Circle só congela ativos quando exigido legalmente — por sanções ou ordem judicial.

Na outra ponta, o atacante converteu parte dos fundos em ~129.000 ETH distribuídos em quatro carteiras. Parte foi roteada via Tornado Cash, Hyperliquid e Wormhole.

A Drift ainda mandou mensagens on-chain pras carteiras do hacker em 3 de abril: “Estamos prontos pra conversar.” Nenhuma resposta.

🌊 O Efeito Dominó

O impacto foi além da Drift. Mais de 20 protocolos Solana com exposição direta foram afetados. O TVL da Drift caiu de ~US$550 milhões pra ~US$232 milhões. O token DRIFT derreteu mais de 40%, batendo mínima histórica perto de US$0,033, queda de 98,5% em relação ao pico de novembro de 2024.

A Solana Foundation reagiu em 7 de abril lançando o programa STRIDE — avaliações de segurança estruturadas pra protocolos com TVL acima de US$10 milhões, com monitoramento 24/7 pra quem passa de US$100 milhões. Também criou o SIRN (Solana Incident Response Network), uma rede de resposta rápida com OtterSec, Neodyme e Squads como membros fundadores.

No front jurídico, o escritório Gibbs Mura abriu investigação pra class action em nome dos investidores afetados.

🧠 A Lição que a Drift Ensinou Pro Mercado Inteiro

Desde 2017, hackers norte-coreanos já acumularam mais de US$7 bilhões em cripto roubado. Foram US$660 milhões em 2023, US$1,34 bilhão em 2024 e US$2,02 bilhões em 2025. A Casa Branca estima que metade do programa de mísseis da Coreia do Norte é financiado por cyberataques e roubo de cripto.

A Drift não foi hackeada por ter código ruim. Os smart contracts passaram por auditorias da Trail of Bits e ClawSecure. O ataque explorou o que nenhuma auditoria cobre: as pessoas que controlam as chaves.

Taylor Monahan colocou da forma mais direta possível: “A profundidade da operação me faz pensar que eles já têm múltiplos outros times na mira.”

Se a Coreia do Norte investiu seis meses e US$1 milhão pra infiltrar um protocolo, quantos outros estão comprometidos agora sem saber?

A lição mais prática? A própria Drift resumiu no post-mortem: audite quem tem acesso a quê, revise seus processos, e trate cada dispositivo que toca uma multisig como um alvo em potencial.

🔵 Conheça a Coinbase

A Coinbase é parceira da Bom Digma e quer ajudar você a dar o primeiro passo no mundo cripto 👀

Abrindo sua conta na corretora, você recebe R$20 em Bitcoin para começar sua jornada neste mercado.

Clique aqui para fazer sua conta - e aproveitar esta oportunidade.

* Após a verificação do seu documento de identidade com foto, o BTC será adicionado ao seu portfólio. Oferta por tempo limitado. Oferta disponível para novos usuários que não tenham verificado previamente sua identificação na Coinbase, nem tenham se cadastrado por outro programa de indicação. A Coinbase pode atualizar as condições de elegibilidade a qualquer momento.

🎁 Libere os Bônus da Bom Digma

Você pode ajudar a proliferar a palavra de Satoshi e ganhar prêmios na Bom Digma 🎁

Basta recomendar nossa newsletter para seus amigos, familiares e todos os que querem aprender mais sobre o mercado cripto.

Os prêmios vão desde um eBook da Café com Satoshi até uma call de 15 minutos com nossos analistas da Paradigma Education.

Aos mais fiéis, quem alcançar a marca de 250 indicações ganha uma call com o nosso fundador 👀

🖼 NFT do Dia

Para pegar seu NFT de hoje, clique aqui e use o código NORTHKOREA.