Drift Confirma: Hack de US$ 285 Milhões Foi Operação de Inteligência Norte-Coreana de 6 Meses — Conheça o UNC4736

Da Conferência Cripto ao Exploit: A Anatomia de uma Operação de Inteligência

Em 5 de abril de 2026, o Drift Protocol publicou um post-mortem detalhado do ataque de US$ 285 milhões sofrido em 1º de abril. A revelação muda a narrativa do caso: não foi um exploit oportunista, foi uma operação de inteligência de seis meses conduzida por um grupo estatal norte-coreano com o codinome UNC4736 — também conhecido como AppleJeus, Citrine Sleet, Golden Chollima e Gleaming Pisces.

O caso é, até o momento, o maior hack DeFi de 2026. E é também uma aula magna sobre como a era atual do crime cripto se parece muito mais com espionagem tradicional do que com invasões por vulnerabilidades de código.

A Linha do Tempo Completa

Outono de 2025: O Primeiro Contato

O início oficial foi em uma grande conferência cripto no segundo semestre de 2025. Agentes do UNC4736, apresentando-se como representantes de uma firma de trading quantitativo, abordaram contributors do Drift Protocol. O pitch: integrar estratégias de trading automatizadas via o sistema de Ecosystem Vaults do protocolo.

Este é o detalhe crítico que distingue a operação de ataques convencionais. Os hackers não bateram no perímetro de segurança — eles se ofereceram para entrar pela porta da frente como parceiros legítimos.

Dezembro 2025 – Janeiro 2026: Infiltração Formal

O grupo completou o processo de onboarding de um Ecosystem Vault, preenchendo formulário com detalhes de estratégia. Durante essa fase:

• Demonstraram conhecimento técnico profundo, fazendo perguntas sofisticadas sobre o produto
• Depositaram mais de US$ 1 milhão dos próprios fundos — demonstração de "skin in the game" que eliminou desconfianças iniciais
• Construíram relacionamentos pessoais com múltiplos contributors via Telegram, Discord e calls
• Integraram-se gradualmente à operação diária do protocolo

Fevereiro – Março 2026: Escalação

Com posição estabelecida, vieram os vetores de comprometimento:

Vetor 1 — Código Malicioso via "Frontend Deployment"

O grupo compartilhou um repositório Git com um contributor, alegando ser um frontend customizado para o vault deles. Ao clonar e executar o código localmente, o contributor foi comprometido — malware estabeleceu persistência no sistema operacional e passou a exfiltrar chaves e credenciais.

Vetor 2 — TestFlight Weaponizado

Com um segundo contributor, a tática foi ainda mais sofisticada. O grupo apresentou uma "beta version" de um app via Apple TestFlight, descrevendo-o como o "produto de carteira" que a firma estava construindo. Ao instalar o app, o contributor comprometeu seu próprio dispositivo — e o ambiente em que mantinha chaves sensíveis.

O uso do TestFlight é particularmente perverso: o sistema da Apple transmite falsa sensação de segurança (revisão, assinatura digital, Apple ID). Mas betas podem ser distribuídos com código malicioso se os revisores da Apple não detectam o comportamento dormente.

1º de Abril de 2026: A Execução

Com acesso suficiente às infraestruturas internas do Drift, o grupo executou o ataque que analisamos em detalhes na cobertura anterior: 31 transações em 12 minutos, drenagem de US$ 285 milhões em múltiplos ativos, uso de durable nonce accounts e manipulação de oráculos via token fake (CarbonVote).

Quem É o UNC4736

O grupo, rastreado por múltiplas firmas de threat intelligence (Mandiant, Microsoft, Google TAG), é uma das unidades mais ativas do aparato cibernético norte-coreano. Seus codinomes refletem a forma como cada pesquisa o mapeia:

• AppleJeus: nome histórico, usado desde campanhas de cavalos de Troia em apps de trading cripto (2018+)
• Citrine Sleet: taxonomia Microsoft
• Golden Chollima: taxonomia CrowdStrike
• Gleaming Pisces: taxonomia Palo Alto Networks

Todas essas designações apontam para o mesmo ator estatal ligado ao Reconnaissance General Bureau (RGB) da DPRK — a agência de inteligência que também supervisiona o infame Lazarus Group.

Por Que Isso Importa Para Todo o DeFi

O Novo Normal: Infiltração, Não Invasão

Por anos, a narrativa do hack DeFi era "bug de smart contract" ou "falha de multisig". O Drift representa uma evolução brutal: ataques de cadeia humana que exploram processos administrativos, confiança interpessoal e ferramentas de colaboração. Código bem auditado não protege contra isso.

Ecosystem Vaults Como Novo Vetor

Protocolos que permitem terceiros integrarem estratégias precisarão repensar drasticamente o due diligence de parceiros. Questionamentos que não eram padrão:

• Verificação de identidade real dos operadores (KYC de parceiros)
• Análise de fundos — origem de capital de "firmas quant" misteriosas
• Due diligence de referências do setor
• Limites de exposição por parceiro novo
• Sandbox isolado para código ou apps compartilhados

Segurança Operacional de Contributors

Para desenvolvedores que trabalham em protocolos DeFi:

• Nunca clone repositórios de contatos não-verificados em máquinas com acesso a chaves
• Use máquinas air-gapped ou VMs descartáveis para testar código externo
• Desconfie de convites TestFlight de terceiros — mesmo com aparência legítima
• Multi-sig real com hardware wallets em cada signer — comprometer 1/5 não deve dar acesso suficiente
• Timelocks de 24-48h em operações administrativas

O Dinheiro Foi Embora?

O pós-colapso do Drift resume-se a uma corrida contra o tempo:

• Porção significativa foi convertida em USDC — Circle já congelou endereços identificados
• Parte virou SOL e ETH, com fluxos cross-chain via bridges conhecidas
• A Tether está sob pressão para congelar o USDT roubado (US$ 5,6 milhões)
• Padrões de lavagem consistentes com mixers, P2P OTC e conversão eventual para moedas fiat via corretores asiáticos

Estimativas preliminares sugerem que 30-50% dos fundos serão recuperados ou congelados. O restante provavelmente entrará no mesmo canal que financiou os US$ 6+ bilhões roubados pela DPRK desde 2017 — sustentando programas nuclear e de mísseis.

Resposta Regulatória e de Mercado

O caso Drift acelera três conversas:

1. Segurança DeFi como prioridade regulatória: SEC, OFAC e contrapartes europeias discutem requisitos mínimos de security framework
2. Stablecoins e poder de congelamento: reforça argumento de que emissores centralizados (Circle, Tether) têm papel sistêmico — tanto positivo (congelar roubo) quanto preocupante (censura)
3. Cooperação internacional anti-DPRK: Tesouro americano (OFAC), Coreia do Sul (FIU) e Japão coordenam sanções a endereços identificados

Conclusão: A Era dos Hacks Humanos

O Drift Protocol é o caso mais didático da nova geração de ameaças. Não há firewall que pare um engenheiro social que passa seis meses construindo confiança. Não há smart contract auditado que resista a uma chave administrativa comprometida. E não há whitehat que consiga reverter fundos que já atravessaram cinco bridges e três mixers.

A lição para o ecossistema é desconfortável, mas necessária: o DeFi precisa profissionalizar segurança operacional no nível de empresas financeiras tradicionais. Background checks de parceiros, compliance interna, segregação de acessos, simulação de ataques. A era do "trust but verify" está virando "never trust, always verify" — e o custo de não aprender isso é medido em centenas de milhões.

Enquanto isso, o grupo UNC4736 provavelmente já começou seu próximo ciclo de seis meses em alguma outra conferência cripto. A arma é paciência. A meta é financiar mísseis. E o Drift não será o último.

Aviso: Este conteúdo é informativo e baseia-se em comunicação oficial do Drift Protocol e análises públicas de firmas de threat intelligence. Não constitui recomendação de investimento.