O Drift Protocol, uma plataforma de negociação descentralizada de criptomoedas, enfrentou um ataque alarmante que resultou em um prejuízo de US$ 280 milhões na última quarta-feira (1º). A equipe do projeto divulgou um comunicado no final de semana esclarecendo os detalhes dessa situação.
Eles acusam um grupo de hackers da Coreia do Norte, conhecido como AppleJeus, de serem os responsáveis pelo ataque. Esse grupo utilizou uma técnica de engenharia social, um método em que a vulnerabilidade não está apenas na tecnologia, mas nas pessoas. Para entender melhor, os hackers se infiltraram em conferências por um período de seis meses, criando uma relação de confiança com os membros da equipe do Drift.
Detalhes do ataque de US$ 280 milhões
Os hackers entraram em contato com a equipe em outubro de 2025 durante uma grande conferência de criptomoedas, apresentando-se como parte de uma empresa de trading quantitativo. Ao longo do tempo, esses indivíduos continuaram a se encontrar pessoalmente em vários eventos. A equipe do Drift descreve: “Eles tinham conhecimento técnico, currículos verificáveis e uma boa compreensão do funcionamento do Drift.”
Após esse primeiro contato, um grupo no Telegram foi criado, onde as conversas sobre estratégias de trading e possíveis colaborações se tornaram mais frequentes. Esse tipo de interação é comum nesse meio, o que tornou a situação ainda mais complicada. Os hackers, apesar de suas ações, pareciam ser apenas mais um grupo de profissionais do mercado.
Adicionalmente, eles até realizaram um depósito superior a US$ 1 milhão como parte da integração de um vault, o que facilitou ainda mais a entrada deles no círculo de confiança do Drift. Isso fez com que os desenvolvedores dessem pouca atenção a sinais de alerta.
Rastro de apagamento e vulnerabilidades
Após essa grande perda, os desenvolvedores notaram que todos os registros de conversa no Telegram e alguns softwares foram deletados, criando um desafio para investigar o ataque. O protocolo utilizado exigia a combinação de 2 de 6 chaves para que uma transação fosse aprovada, mas mesmo assim, a segurança não foi suficiente.
O ataque se concretizou quando um dos desenvolvedores comprometeu um repositório dos hackers, enquanto o outro teria baixado um aplicativo disfarçado de um Wallet (carteira). A equipe do Drift explicou que isso pode ter relação com uma vulnerabilidade conhecida do VSCode e do Cursor, que estava sendo amplamente discutida na comunidade de segurança entre os meses de dezembro de 2025 e fevereiro de 2026. “Bastava abrir um arquivo ou pasta para que um código malicioso fosse executado”, ressaltaram.
O alerta sobre os hackers norte-coreanos
Os desenvolvedores chamaram atenção para o fato de que esse grupo da Coreia do Norte, AppleJeus/Citrine Sleet, faz parte de uma rede criminosa que, no passado, realizou outros ataques significativos. Por exemplo, eles roubaram mais de US$ 50 milhões da Radiant Capital em outubro de 2024. Além disso, o grupo é responsável por um roubo de US$ 1,5 bilhão da Bybit em 2025 e US$ 625 milhões da Ronin Network em 2022.
Um relatório da Google de 2025 afirmou que esse grupo está ampliando suas operações ao redor do mundo, visando não só empresas de criptomoedas, mas também setores governamentais e outros. Embora eles utilizem métodos variados, a estratégia sempre se mantém: explorar as fraquezas humanas, as pessoas, como o elo mais fraco na cadeia de segurança.
