Como o programa secreto de espionagem de 6 meses da Coreia do Norte está levando a comunidade cripto a repensar a segurança

Quando a Drift divulgou os detalhes por trás de seu exploit de US$ 270 milhões, a parte mais inquietante não foi a magnitude da perda — foi como isso aconteceu.

De acordo com a equipe por trás do protocolo, o ataque não foi resultado de um erro no contrato inteligente nem de uma manipulação astuta do código. foi uma campanha de seis meses envolvendo identidades falsas, reuniões presenciais em vários países e confiança cuidadosamente cultivada. Os atacantes, supostamente da Coreia do Norte, não apenas encontraram uma vulnerabilidade no sistema. Eles tornaram-se parte dele.

Esta nova ameaça está agora impondo um ajuste de contas mais amplo em todo o universo das finanças descentralizadas.

Durante anos, a indústria tratou a segurança como um problema técnico, algo que poderia ser resolvido com auditorias, verificação formal e um código melhor. Mas o incidente da Drift sugere algo muito mais complexo: que o as verdadeiras vulnerabilidades podem estar completamente fora da base de código.

Alexander Urbelis, diretor de segurança da informação (CISO) da ENS Labs, argumenta que a própria estrutura já está desatualizada.

"Precisamos parar de chamar esses eventos de 'hackers' e começar a chamá-los pelo que realmente são: operações de inteligência,” disse Urbelis à CoinDesk. “As pessoas que apareceram em conferências, que encontraram colaboradores da Drift pessoalmente em vários países, que depositaram um milhão de dólares do próprio bolso para construir credibilidade: isso é artifício profissional. É o tipo de ação que se esperaria de um agente de campo, não de um hacker."

Se essa caracterização se mantiver, então o Drift representa um novo manual de estratégias: um onde os atacantes se comportam menos como hackers oportunistas e mais como operadores pacientes que se inserem socialmente antes de agir na cadeia.

"A Coreia do Norte não está mais vasculhando contratos vulneráveis. Eles estão vasculhando pessoas vulneráveis... Isso não é hacking. Isso é operar agentes," acrescentou Urbelis."

As próprias táticas não são inteiramente novas.

Investigações nos últimos anos têm mostrado Operadores norte-coreanos estão se infiltrando em empresas de criptomoedas ao se passarem por desenvolvedores, passando por entrevistas de emprego e até conseguindo cargos com identidades falsas. Porém, o incidente Drift sugere que esses esforços se intensificaram — passando de acesso por meio de processos seletivos para a condução de operações presenciais que duram meses, focadas na construção de relacionamentos antes de executar um ataque.

'O calcanhar de Aquiles'

Essa mudança é o que mais preocupa muitos líderes de segurança. Mesmo o protocolo mais rigorosamente auditado pode falhar se um colaborador for comprometido.

David Schwed, diretor de operações da SVRN e ex-CISO tanto da Robinhood quanto da Galaxy, vê o caso Drift como um alerta.

"Os protocolos precisam entender contra o que estão lidando. Não se trata de explorações simples. São operações bem planejadas, que duram meses, com recursos dedicados, identidades fabricadas e um elemento humano deliberado", disse Schwed à CoinDesk. "Esse elemento humano é o calcanhar de Aquiles para muitas organizações."

Muitas equipes de DeFi permanecem pequenas, ágeis e baseadas na confiança. Porém, quando um punhado de indivíduos controla acessos críticos, comprometer um deles pode ser suficiente.

Schwed argumenta que a resposta precisa ser atualizada. \"A solução é um programa de segurança bem robusto que protege não apenas a tecnologia, mas também as pessoas e o processo... A segurança precisa ser fundamental para o projeto e para a equipe.\"

Alguns protocolos já estão se ajustando. Na Jupiter, uma das maiores plataformas DeFi da Solana, a base de auditorias e verificação formal permanece, mas os líderes afirmam que isso não é mais suficiente.

"Claramente, garantir a segurança do código por meio de várias auditorias independentes, código aberto e verificação formal é apenas o ponto de partida. A superfície para ataques ampliou-se substancialmente," afirmou o COO Kash Dhanda.

Essa abrangência agora inclui governança, colaboradores e segurança operacional. A Jupiter ampliou o uso de multisigs e timelocks, além de investir em sistemas de detecção e treinamento interno.

"Considerando que a carne é mais vulnerável do que o código, também estamos atualizando o treinamento de opsec e o monitoramento para membros-chave da equipe,” disse Dhanda.

Mesmo assim, ele acrescentou, “não existe um estado final para a segurança” e a complacência continua sendo o maior risco.

Para protocolos como o dYdX, o incidente Drift reforça uma realidade que não pode ser completamente eliminada por engenharia.

"É um fato lamentável da vida que projetos de criptomoedas estão sendo cada vez mais alvos de agentes mal-intencionados patrocinados por estados... os desenvolvedores devem tomar precauções para prevenir e mitigar o impacto de comprometimentos por engenharia social, mas os usuários também devem estar cientes de que, dada a crescente sofisticação desses agentes, o risco de tais comprometimentos não pode ser totalmente eliminado,” afirmou David Gogel, COO da dYdX Labs.

Esse modelo de ameaça em evolução também está transferindo a responsabilidade para os próprios usuários.

“Usuários ativos em DeFi devem dedicar tempo para compreender a arquitetura técnica dos protocolos ou contratos inteligentes que detêm seus fundos, e devem considerar em suas avaliações de risco o papel e a natureza de quaisquer multisigs para atualizações de software, bem como a possibilidade de que estes possam ser comprometidos maliciosamente,” acrescentou Gogel.

'Modelo de ameaça'

Para alguns fundadores, o exploit da Drift destaca uma conclusão mais desconfortável: que a confiança em si mesma se tornou uma vulnerabilidade.

"O exploit do Drift não foi uma vulnerabilidade de código. Foi uma operação de inteligência de seis meses que explorou a confiança entre pessoas," afirmou Lucas Bruder, CEO da Jito Labs.

Na prática, isso significa projetar sistemas que assumam comprometimento — não apenas falhas.

"As auditorias de contratos inteligentes são requisitos básicos. A verdadeira superfície de ataque é sua equipe, seus signatários multisig e cada dispositivo que eles utilizam."

Essa mentalidade está se tornando central para a forma como o DeFi aborda a segurança. Schwed, da SVRN, afirma que tudo começa ao perguntar não apenas como um protocolo funciona, mas como ele poderia falhar.

Comece com um modelo de ameaça. Pergunte a si mesmo, como posso ser explorado? Se um dos proprietários do projeto for comprometido, qual é o raio de impacto desse cenário?

Nesse sentido, a exploração do Drift pode ser lembrada menos pelos fundos perdidos do que pelo que revelou — que os maiores riscos na DeFi podem não estar mais no código, mas nas pessoas que o administram.

Leia mais: Como a Coreia do Norte Infiltrou a Indústria Cripto