- Ataque de US$ 285 milhões ocorreu em 1º de abril de 2026.
- Operação levou cerca de 6 meses e envolveu engenharia social avançada.
- Grupo ligado à Coreia do Norte usou identidades falsas e acesso interno.
O ataque que drenou US$ 285 milhões da exchange descentralizada Drift não foi imediato.
Pelo contrário, resultou de uma operação silenciosa, planejada ao longo de seis meses, com forte uso de engenharia social e infiltração gradual no ecossistema.
Operação longa, silenciosa e altamente estratégica
A investigação aponta que o grupo responsável tem ligação com a Coreia do Norte, além disso, ele já atua no setor cripto desde 2018.
Segundo a Drift, o ataque foi “uma operação estruturada de inteligência”, portanto, não se tratou de uma falha simples ou isolada.
Tudo começou no fim de 2025, na ocasião, indivíduos se passaram por uma empresa de trading quantitativo. Eles abordaram membros da Drift em eventos internacionais.
Em seguida, criaram relacionamento com os desenvolvedores, além disso, demonstraram conhecimento técnico e histórico profissional convincente.
Pouco depois, abriram um canal no Telegram, por meses, discutiram estratégias e integrações. Esse processo aumentou a confiança dos colaboradores.
Entre dezembro e janeiro, o grupo avançou mais, depositou mais de US$ 1 milhão na plataforma. Assim, consolidou presença real dentro do sistema.
Entretanto, o ponto crítico veio depois, dois vetores de ataque são os mais prováveis:
- Um desenvolvedor abriu um repositório malicioso.
- Outro testou uma carteira falsa via TestFlight.
No primeiro caso, o código executava automaticamente ao abrir no VS Code. Isso ocorreu via configuração “runOn: folderOpen”.
Impactos e nova fase das ameaças cibernéticas
Esse caso reforça uma tendência clara, ataques sofisticados agora priorizam pessoas, não apenas sistemas.
Além disso, o modelo da Coreia do Norte evoluiu, segundo a DomainTools, o país adotou uma estrutura fragmentada. Isso dificulta rastreamento e resposta.
Hoje, existem três frentes principais:
- Espionagem digital.
- Roubo financeiro via cripto.
- Ataques destrutivos com ransomware.
Paralelamente, cresce o uso de fraudes trabalhistas, operadores conseguem empregos remotos usando identidades falsas.
Depois, acessam sistemas internos e desviam recursos, em muitos casos, recebem salários em criptomoedas.
De acordo com especialistas, “o ciclo é constante e ininterrupto”. Ou seja, esses agentes trocam de identidade e emprego com frequência.
Além disso, há recrutamento internacional, desenvolvedores de países como Irã e Índia participam dessas operações.
O ataque à Drift mostra uma mudança importante no cenário de segurança cripto. Não basta proteger código. É preciso proteger pessoas e processos.
Portanto, empresas devem reforçar validação de parceiros, revisar acessos e treinar equipes. Afinal, o próximo ataque pode não explorar uma falha técnica, mas sim confiança humana.
