O maior obstáculo no desenvolvimento da DeFi

Autor: Chloe, ChainCatcher

Na semana passada, o protocolo de empréstimos Drift, da Solana, foi hackeado, resultando no roubo de aproximadamente US$ 285 milhões em ativos dos usuários. De acordo com declarações oficiais, não se tratou de um ataque típico à vulnerabilidade de um contrato inteligente, mas sim de um ataque de engenharia social meticulosamente planejado, que durou seis meses, perpetrado por hackers patrocinados pelo Estado.

Há até mesmo evidências de investigações que sugerem que o mesmo grupo de agentes maliciosos já pode ter se infiltrado no núcleo de desenvolvimento de vários protocolos DeFi, não como invasores, mas como colaboradores.

Os hackers norte-coreanos costumam infiltrar-se em alvos iniciais, mas raramente investem grandes quantias de dinheiro

De acordo com o comunicado sobre o incidente da Drift, a estratégia principal dos invasores era “integrar-se ao ecossistema”.

Desde o outono de 2025, eles se disfarçaram como uma empresa de negociação quantitativa e começaram a interagir com os principais colaboradores da Drift nas principais conferências do setor de criptomoedas. Esse envolvimento não foi um evento pontual, mas sim uma série de interações em diferentes países e conferências, realizadas deliberadamente ao longo de seis meses. Essas pessoas possuíam competência técnica, tinham antecedentes comprovados e conheciam bem o funcionamento da Drift.

Além disso, suas interações não se limitavam aos membros principais do Drift. A equipe também aproveitou o mecanismo aberto do Ecosystem Vault da Drift, conseguindo registrar seu próprio cofre como uma empresa comercial legítima, depositando mais de US$ 1 milhão de seus próprios recursos, participando de várias reuniões de trabalho e fazendo perguntas detalhadas sobre o produto, consolidando assim a confiança com a equipe do projeto.

Steven, especialista em tecnologia blockchain, afirmou em entrevista ao ChainCatcher: "Os hackers norte-coreanos vêm se infiltrando em alvos desde o início, o que é uma prática comum, mas investir grandes somas de dinheiro como forma de estabelecer confiança é relativamente raro." No entanto, para os invasores, esse 1 milhão de dólares é, essencialmente, um investimento sem risco; desde que não lancem um ataque, esse dinheiro é apenas um saldo normal depositado no cofre, que pode ser retirado a qualquer momento; e as operações propriamente ditas são conduzidas por pessoal de terceiros que não tem conhecimento do que está acontecendo, o que resulta em praticamente nenhuma perda econômica para a própria organização.

Além disso, durante sua longa colaboração com a Drift, a equipe compartilhou projetos de código e aplicativos armazenados no GitHub sob o pretexto de apresentar suas próprias ferramentas de desenvolvimento. Dadas as circunstâncias da época, era perfeitamente normal que os colegas revisassem o código uns dos outros. No entanto, investigações posteriores realizadas pela Drift revelaram que um colaborador havia copiado um projeto de código do GitHub que continha código malicioso, enquanto outro colaborador foi induzido a baixar um aplicativo do TestFlight disfarçado de carteira digital.

A razão pela qual é difícil prevenir contra o risco do Code Project é que ele está totalmente integrado ao fluxo de trabalho diário dos desenvolvedores. Os desenvolvedores costumam usar editores de código como o VSCode ou o Cursor ao escrever código, que podem ser considerados o Word dos engenheiros, algo que eles abrem e usam diariamente.

A comunidade de pesquisa em segurança descobriu uma grave vulnerabilidade nesses editores no final de 2025: quando os desenvolvedores abriam projetos de código compartilhados por outras pessoas, comandos maliciosos ocultos dentro dos projetos eram executados automaticamente em segundo plano, de forma totalmente sigilosa, sem que nenhuma janela de confirmação aparecesse na tela, sem exigir cliques para aceitar e sem exibir nenhum aviso. Os desenvolvedores acreditavam que estavam apenas "analisando o código", mas, na verdade, seus computadores haviam sido infectados com backdoors. Os invasores exploraram essa vulnerabilidade para ocultar malware nas operações diárias que os desenvolvedores realizavam rotineiramente.

Quando ocorreu o ataque Drift, em 1º de abril, os registros das conversas dos invasores no Telegram e todos os vestígios do malware já haviam sido completamente apagados, deixando para trás apenas um rombo de US$ 285 milhões.

Será que o Drift é apenas a ponta do iceberg?

De acordo com uma investigação realizada pela organização de resposta de segurança de emergência SEAL 911 no setor de criptomoedas, esse ataque foi perpetrado pelo mesmo grupo de criminosos responsável pelo ataque à Radiant Capital em outubro de 2024. As ligações incluem fluxos de fundos na cadeia de blocos (os fundos utilizados para preparar e testar esta operação remontam aos autores do ataque Radiant) e padrões operacionais (as identidades utilizadas nesta operação apresentam semelhanças identificáveis com atividades conhecidas da Coreia do Norte). A Mandiant, uma renomada empresa de análise forense de segurança contratada pela Drift (agora parte do Google), havia anteriormente atribuído o incidente da Radiant à organização UNC4736, ligada ao Estado norte-coreano; no entanto, a Mandiant ainda não atribuiu formalmente o incidente da Drift, e a análise forense completa dos dispositivos ainda está em andamento.

É importante destacar que as pessoas que compareceram pessoalmente às reuniões não eram cidadãos norte-coreanos. Steven afirmou: "Os hackers norte-coreanos não devem ser vistos como uma organização típica de hackers, mas sim como uma agência de inteligência; trata-se de uma grande organização com milhares de pessoas e funções claramente definidas." Entre elas, o grupo de hackers norte-coreano Lazarus é formalmente conhecido no campo da segurança internacional como APT38, enquanto outra organização afiliada, a Kimsuky, é designada como APT43.

Isso explica por que eles conseguem mobilizar pessoas reais fora da internet. Eles abrem empresas no exterior sob diversos nomes, contratando pessoal local, que talvez nem saiba para quem está trabalhando. "Ele pode pensar que entrou para uma empresa normal de trabalho remoto e, após um ano, é enviado para se encontrar com um cliente; tudo parece normal, mas, por trás disso, há uma organização de hackers." "Quando a polícia chega para investigar, essa pessoa não sabe de nada."

Bem, o Drift pode ser apenas a ponta do iceberg.

Embora o incidente da Drift revele uma vulnerabilidade em um único protocolo, investigações posteriores apontam para um problema mais amplo: os mesmos métodos podem ter sido utilizados em todo o ecossistema DeFi há anos.

De acordo com a investigação do pesquisador de blockchain Tayvano, desde a rápida expansão da DeFi em 2020, as contribuições de código associadas a profissionais de TI norte-coreanos se espalharam por vários projetos conhecidos, incluindo SushiSwap, THORChain, Harmony, Ankr e Yearn Finance.

Os métodos utilizados por esses indivíduos são surpreendentemente semelhantes aos do incidente Drift: uso de identidades falsas, obtenção de vagas na área de desenvolvimento por meio de plataformas de freelancers e contatos diretos, acesso a canais do Discord e comunidades de desenvolvedores, e até mesmo participação em reuniões de desenvolvedores. Uma vez integrados ao projeto, eles contribuem com código, participam dos ciclos de desenvolvimento e constroem uma relação de confiança com a equipe até compreenderem toda a arquitetura do protocolo e aguardarem o momento certo para agir.

Steven acredita que, nas agências de inteligência tradicionais, os agentes podem até mesmo permanecer à espreita por toda a vida, com a geração seguinte dando continuidade às tarefas inacabadas da geração anterior. Para eles, os projetos da Web3 são de curto prazo e oferecem altos retornos, e a natureza do trabalho remoto permite que uma única pessoa desempenhe várias funções em diferentes projetos, o que é bastante comum no setor da Web3 e não levanta suspeitas.

"A organização de hackers norte-coreana inclui todos os projetos Web3 no seu âmbito de ataque, analisando cuidadosamente cada projeto e coletando informações sobre os membros da equipe. “A compreensão que eles têm dos projetos é mais clara do que a das próprias equipes de projeto”, disse Steven. A razão pela qual a Web3 se tornou um alvo principal é que esse ecossistema conta com uma grande quantidade de recursos financeiros, carece de uma regulamentação global unificada e a prevalência do trabalho remoto muitas vezes torna impossível verificar a verdadeira identidade de colaboradores e funcionários. Além disso, o fato de os profissionais serem, em geral, jovens e inexperientes cria um ambiente ideal para a infiltração das agências de inteligência norte-coreanas.

Os incidentes de hacking são comuns; as equipes de projeto só podem ficar paradas esperando?

Ao analisar os principais incidentes dos últimos anos, percebe-se que a engenharia social sempre foi uma tática fundamental dos grupos de hackers norte-coreanos. Recentemente, foi lançado o livro de memórias do fundador da Binance, CZ, intitulado “Binance Life”, que relata o incidente ocorrido em maio de 2019, quando a Binance sofreu um ataque cibernético que resultou no roubo de 7.000 bitcoins. De acordo com a CZ, os hackers primeiro invadiram os laptops de vários funcionários usando malware avançado e, em seguida, inseriram comandos maliciosos durante a etapa final do processo de saque, roubando todas as 7.000 bitcoins da carteira quente à 1h da manhã (no valor aproximado de US$ 40 milhões na época). CZ escreveu no livro que, com base nos métodos de ataque, os hackers já estavam à espreita na rede da Binance há algum tempo e havia fortes suspeitas de que fossem do grupo Lazarus, da Coreia do Norte, possivelmente até subornando funcionários internos.

O incidente da Ronin Network em 2022 também é um caso clássico. A Ronin é a sidechain por trás do popular jogo de blockchain Axie Infinity, responsável por gerenciar todas as transferências entre cadeias de ativos do jogo, com uma grande quantidade de fundos bloqueados na época. O ataque teve início quando um desenvolvedor recebeu uma oferta de emprego aparentemente muito bem remunerada de uma empresa conhecida e baixou um arquivo contendo malware durante o processo de entrevista, permitindo que os invasores obtivessem acesso ao sistema interno e, por fim, roubassem US$ 625 milhões.

O incidente da CoinsPaid em 2023 utilizou táticas quase idênticas. A CoinsPaid é uma empresa prestadora de serviços de pagamentos em criptomoedas, e os invasores abordaram os funcionários de forma semelhante por meio de um processo de recrutamento falso, levando-os a instalar malware antes de se infiltrarem no sistema. Os métodos de hacking mais recentes tornaram-se ainda mais diversificados: videochamadas falsificadas, contas em redes sociais comprometidas e malware disfarçado de software para reuniões.

As vítimas receberam links de reuniões do Calendly que pareciam normais e, ao clicar neles, foram levadas a instalar um aplicativo de reuniões falso, permitindo que o malware roubasse carteiras digitais, senhas, frases de recuperação e registros de comunicação. Estima-se que, por meio desses métodos, grupos de hackers norte-coreanos tenham roubado mais de US$ 300 milhões.

Ao mesmo tempo, vale a pena destacar também o destino final dos fundos roubados. Steven afirmou que os fundos roubados acabam por ficar sob o controle do governo norte-coreano. A lavagem de dinheiro é realizada por uma equipe especializada dentro da organização, que configura mixers e abre contas com identidades falsas em várias corretoras, seguindo um processo completo e complexo: os fundos são lavados por meio de mixers imediatamente após serem roubados, depois trocados por moedas de privacidade e, posteriormente, transferidos entre diferentes projetos DeFi, circulando repetidamente entre corretoras e DeFi.

"Todo o processo é concluído em cerca de 30 dias, e os fundos finais acabam indo parar em cassinos no Sudeste Asiático, em pequenas corretoras que não exigem verificação de identidade (KYC) e em prestadores de serviços OTC em Hong Kong e no Sudeste Asiático, onde são sacados."

Então, diante desse novo modelo de ameaça, em que os adversários não são apenas invasores, mas também participantes, como o setor de criptografia deve reagir?

Steven acredita que as equipes de projeto que administram grandes quantias de recursos devem contratar equipes de segurança profissionais, criar cargos específicos para segurança dentro da equipe e garantir que todos os membros principais cumpram rigorosamente os protocolos de segurança. É especialmente importante que os dispositivos de desenvolvimento e os dispositivos responsáveis pelas assinaturas digitais estejam rigorosamente isolados fisicamente. Ele mencionou especificamente que uma questão fundamental no incidente do Drift foi o cancelamento do mecanismo de buffer de bloqueio de tempo, “que nunca deveria ser cancelado em hipótese alguma”.

No entanto, ele também admitiu que, se as agências de inteligência norte-coreanas realmente quiserem se infiltrar profundamente, mesmo verificações rigorosas de antecedentes teriam dificuldade em identificá-los completamente. Mas contar com equipes de segurança continua sendo fundamental. Ele sugeriu que as equipes de projeto adotassem equipes azuis (o lado defensivo nas operações de ataque e defesa cibernéticos), pois essas equipes não só podem ajudar a reforçar a segurança de dispositivos e comportamentos, como também monitoram continuamente os nós-chave, permitindo a detecção e resposta imediatas a ataques em caso de flutuações anormais. "Confiar exclusivamente nas capacidades de segurança da própria equipe do projeto não é suficiente para resistir a esse nível de ataque."

Ele acrescentou que as capacidades de guerra cibernética da Coreia do Norte estão entre as cinco melhores do mundo, ficando atrás apenas dos Estados Unidos, da Rússia, da China e de Israel. Diante de tais adversários, confiar apenas em auditorias de código está longe de ser suficiente.

Conclusão

O incidente com a Drift prova que as maiores ameaças que a DeFi enfrenta atualmente não se limitam às condições de mercado ou à liquidez; em termos de segurança, não se trata apenas de prevenir vulnerabilidades no código, pois pode haver espiões escondidos bem ao seu lado.

Quando os invasores estão dispostos a dedicar seis meses e investir milhões de dólares para cultivar um relacionamento, as auditorias de código tradicionais e as defesas de segurança são simplesmente insuficientes. Além disso, de acordo com as investigações existentes, esse conjunto de táticas pode estar em uso em vários projetos há anos, mas ainda não foi descoberto.

Se a DeFi conseguirá manter a descentralização e a abertura já não é a questão central; a verdadeira questão é: será que ela conseguirá resistir à infiltração desses adversários bem disfarçados, mantendo-se aberta?