Blitz DeFi de US$ 577 milhões da Coreia do Norte: Drift e Kelp hackeados em 18 dias

Hackers afiliados ao Estado da Coreia do Norte executaram dois dos maiores exploits de finanças descentralizadas da história em um único mês, drenando um total combinado de mais de $577 milhões do Drift Protocol e da Kelp DAO. Empresas de análise de blockchain, provedores de infraestrutura cross-chain e pesquisadores de segurança independentes atribuíram ambos os ataques — com variados graus de confiança — a unidades de hacking que operam sob o aparato estatal norte-coreano, marcando o que analistas descrevem como uma campanha coordenada e em escalada contra a infraestrutura DeFi.

A exploração do protocolo Drift: uma infiltração de seis meses

Em 1 de abril de 2026, atacantes drenaram aproximadamente $285 milhões do Drift Protocol — a maior exchange descentralizada de futuros perpétuos na Solana — no que se tornou o maior hack de DeFi do ano até aquele momento e o segundo maior exploit na história da Solana, atrás apenas do hack da ponte Wormhole de $326 milhões em 2022. O post-mortem da Drift descreveu o ataque como tendo sido "preparado por seis meses", atribuindo-o com média confiança ao UNC4736, um ator de ameaça patrocinado pelo Estado norte-coreano também rastreado como AppleJeus, Citrine Sleet e Gleaming Pisces — um grupo com um histórico documentado de visar o setor de criptomoedas desde pelo menos 2018. O vetor de ataque não foi um bug de contrato inteligente. Em vez disso, combinou engenharia social, manipulação de governança e um token falso criado para esse fim:

• Entre dezembro de 2025 e janeiro de 2026, agentes se passando por uma empresa de trading quantitativo integraram um Ecosystem Vault na Drift, enviaram documentação de estratégia e depositaram mais de $1 milhão de seu próprio capital para construir credibilidade.
• O atacante fabricou um token fictício chamado CarbonVote (CVT), semeado com liquidez mínima e volume de negociação falso, e então manipulou os oráculos da Drift para tratá-lo como colateral válido.
• Entre 23 e 30 de março, o atacante obteve aprovações multisig 2-de-5 dos membros do Conselho de Segurança da Drift, enganando-os para pré-assinar transações maliciosas usando o recurso de nonce durável da Solana, o que permitiu que as autorizações permanecessem latentes até o dia da execução.
• Quando acionados em 1 de abril, os cofres foram esvaziados em cerca de 12 minutos, com a maioria dos fundos roubados movidos para a rede Ethereum via bridges em poucas horas.
• O token DRIFT caiu mais de 40% após o exploit, e o valor total bloqueado do protocolo desmoronou de aproximadamente $550 milhões para menos de $250 milhões. Uma dezena de protocolos Solana com dependências na Drift pausaram as operações.

A exploração Kelp DAO: envenenamento de infraestrutura em escala

Em 18 de abril, a Kelp DAO — um protocolo de restaking líquido que roteia o ETH dos usuários através da EigenLayer — foi vítima de um exploit de $292 milhões, confirmado como obra do Lazarus Group, apoiado pelo Estado norte-coreano, especificamente sua subunidade TraderTraitor. Isso superou a Drift para se tornar o maior exploit individual de DeFi de 2026. Os atacantes comprometeram dois nós RPC nos quais o verificador da LayerZero confiava para confirmar transações cross-chain, substituindo o software do nó por versões maliciosas que reportavam dados falsos. Eles então lançaram um ataque de negação de serviço distribuído (DDoS) contra os nós honestos restantes, forçando um failover para os endpoints comprometidos — enganando o verificador da LayerZero para aprovar uma transação cross-chain fraudulenta e liberar 116.500 rsETH para os atacantes. A LayerZero atribuiu a violação parcialmente à própria configuração de segurança da Kelp: o protocolo operava uma configuração de verificador 1-de-1, o que significa que a LayerZero Labs era a única entidade verificando mensagens de e para a bridge rsETH — uma configuração que a LayerZero afirma ter alertado anteriormente. O contágio se espalhou rapidamente pelo setor DeFi:

• O exploit de 18 de abril desencadeou uma saída de $10 bilhões da Aave em meio a preocupações sobre potenciais dívidas incobráveis.
• O valor total bloqueado em todo o setor DeFi caiu aproximadamente 7% nas 24 horas após o ataque, declinando de cerca de $99,5 bilhões para $86,3 bilhões.
• Diversas equipes DeFi, incluindo Ethena, ether.fi, Tron DAO e Curve Finance, pausaram suas bridges de tokens fungíveis omnichain da LayerZero em resposta.

Uma ameaça em mudança e escalada

A mesma unidade norte-coreana drenou agora mais de $577 milhões de DeFi em 18 dias através de dois vetores de ataque estruturalmente diferentes: engenharia social com signatários de governança na Drift e envenenamento de RPCs de infraestrutura na Kelp. Analistas observam que o exploit da Kelp sinaliza que o Lazarus Group da Coreia do Norte está evoluindo além de hacks isolados, mudando rapidamente as táticas de engenharia social para a exploração de fraquezas estruturais na infraestrutura cripto — sugerindo uma campanha sustentada e dirigida pelo Estado, em vez de incidentes únicos. Se a atribuição à RPDC se mantiver em ambos os incidentes, isso elevaria o total confirmado de roubo de cripto do regime em 2026 para além de $600 milhões, recursos que o governo dos EUA vinculou anteriormente aos programas de armas de Pyongyang. A LayerZero anunciou desde então que não assinará mais mensagens para qualquer projeto que opere uma configuração de verificador 1-de-1 e está acelerando as migrações para configurações multi-DVN. Pesquisadores de segurança e desenvolvedores de protocolos estão instando a indústria DeFi em geral a tratar timelocks de governança, defesa em profundidade de oráculos e redundância de verificação cross-chain como requisitos básicos não negociáveis — e não configurações opcionais.

Publicado por Coinplurk.com