Hackers norte-coreanos provavelmente por trás da exploração de US$ 286 milhões no Drift Protocol: Elliptic

Elliptic disse na quinta-feira que o Drift Protocol, avaliado em US$ 285 milhõesexploração, a maior deste ano, apresenta “múltiplos indicadores” de envolvimento do grupo hacker DPRK, patrocinado pelo estado da Coreia do Norte.

A empresa de pesquisa apontou especificamente para o comportamento onchain, metodologias de lavagem de dinheiro e sinais em nível de rede, todos os quais se alinham com ataques anteriores vinculados a estados.

Drift Protocol, cujo token caiu mais de 40% para aproximadamente US$0,06 desde o hack, é a maior bolsa descentralizada de futuros perpétuos na blockchain Solana.

“Se confirmado, este incidente representaria o décimo oitavo ato da RPDC que a Elliptic rastreou este ano, com mais de 300 milhões de dólares roubados até agora,” declarou o relatório.

“Trata-se da continuação da campanha sustentada da RPDC de roubo em grande escala de criptoativos, que o governo dos EUA vinculou ao financiamento de seus programas de armas. Acredita-se que atores ligados à RPDC sejam responsáveis por bilhões de dólares em roubo de criptoativos nos últimos anos,” acrescentou a Elliptic.

Horas antes, Dados da Arkham revelaram que mais de US$ 250 milhões foi transferido da Drift para uma carteira intermediária, e depois para vários outros endereços.

Em dezembro, um Relatório da Chainalysis revelou Hackers da RPDC roubaram um recorde de US$ 2 bilhões em criptomoedas em 2025, incluindo a violação de US$ 1,4 bilhão da Bybit, representando um aumento de 51% em relação ao ano anterior. O Departamento do Tesouro dos EUA no mês passado afirmou que a Coreia do Norte utiliza os ativos roubados para financiar o programa de armas de destruição em massa do país.

Em vez de focar no exploit em si, a análise da Elliptic destaca um padrão operacional familiar. A atividade parece “premeditada e cuidadosamente encenada,” com transações de teste iniciais e carteiras pré-posicionadas antecedendo o evento principal.

O relatório explica que, uma vez executados, os fundos foram rapidamente consolidados e trocados, transferidos entre cadeias (bridged) e convertidos em ativos mais líquidos, refletindo um fluxo de lavagem estruturado e repetível, projetado para obscurecer a origem, mantendo o controle.

Um desafio central, observa a Elliptic, é o modelo de conta da Solana. Como cada ativo é mantido em uma conta de token separada, a atividade vinculada a um único agente pode parecer fragmentada em vários endereços. Sem vincular esses, os investigadores correm o risco de ver “fragmentos da atividade do atacante, e não o quadro completo.”

É aqui que o relatório da Elliptic destaca a abordagem de agrupamento, que conecta contas de tokens a uma única entidade, permitindo que a exposição seja identificada independentemente de qual endereço seja analisado. Em um incidente envolvendo mais de uma dúzia de tipos de ativos, essa visão em nível de entidade torna-se crítica.

O caso também enfatiza, acrescenta a Elliptic em seu relatório, como a lavagem de dinheiro se tornou inerentemente cross-chain. Fundos movimentados de Solana para Ethereum e além, demonstrando a necessidade do que a Elliptic descreveu como “capacidades holísticas de rastreamento cross-chain.”