O maior obstáculo ao desenvolvimento da DeFi

Autor: Chloe, ChainCatcher

Na semana passada, o protocolo de empréstimos da Solana, Drift, foi alvo de um ataque informático, o que resultou no roubo de cerca de 285 milhões de dólares em ativos dos utilizadores. De acordo com declarações oficiais, não se tratou de um ataque típico aproveitando uma vulnerabilidade de um contrato inteligente, mas sim de um ataque de engenharia social meticulosamente planeado, com uma duração de seis meses, levado a cabo por hackers patrocinados pelo Estado.

Existem até indícios de investigação que sugerem que o mesmo grupo de agentes maliciosos poderá já se ter infiltrado no núcleo de desenvolvimento de vários protocolos DeFi, não como atacantes, mas como colaboradores.

Os hackers norte-coreanos costumam infiltrar-se em alvos iniciais, mas raramente investem grandes quantias de dinheiro

De acordo com o comunicado relativo ao incidente da Drift, a estratégia principal dos atacantes consistia em «integrar-se no ecossistema».

Desde o outono de 2025, disfarçaram-se de empresa de negociação quantitativa e começaram a interagir com os principais colaboradores da Drift nas principais conferências do setor das criptomoedas. Este compromisso não foi um acontecimento pontual, mas sim uma série de interações em diferentes países e conferências, deliberadamente realizadas ao longo de seis meses. Essas pessoas possuíam competências técnicas, tinham antecedentes comprovados e conheciam bem o funcionamento da Drift.

Além disso, as suas interações não se limitavam aos membros principais do Drift. A equipa também tirou partido do mecanismo aberto do Ecosystem Vault da Drift, conseguindo registar o seu próprio cofre como uma empresa de negociação legítima, depositando mais de 1 milhão de dólares dos seus próprios fundos, participando em várias reuniões de trabalho e colocando questões aprofundadas sobre o produto, consolidando assim a confiança com a equipa do projeto.

Steven, especialista em tecnologia blockchain, afirmou numa entrevista à ChainCatcher: «Os hackers norte-coreanos têm vindo a infiltrar-se em alvos desde há muito, o que é prática comum, mas investir grandes somas de dinheiro como forma de criar confiança é relativamente raro.» No entanto, para os atacantes, este milhão de dólares é, essencialmente, um investimento sem risco; desde que não lancem um ataque, este dinheiro é apenas um montante normal depositado no cofre, que pode ser levantado a qualquer momento; e as operações propriamente ditas são realizadas por pessoal de terceiros que não tem conhecimento da situação, o que resulta em praticamente nenhuma perda económica para a própria organização.

Além disso, durante a sua colaboração de longa data com a Drift, a equipa partilhou projetos de código e aplicações armazenados no GitHub, sob o pretexto de apresentar as suas próprias ferramentas de desenvolvimento. Dadas as circunstâncias da época, era perfeitamente normal que os colegas revisassem o código uns dos outros. No entanto, investigações posteriores realizadas pela Drift revelaram que um colaborador tinha copiado um projeto de código do GitHub que continha código malicioso, enquanto outro colaborador foi levado a descarregar uma aplicação do TestFlight disfarçada de produto de carteira digital.

A razão pela qual é difícil proteger-se contra a via do CodeProject é que esta está totalmente integrada no fluxo de trabalho diário dos programadores. Os programadores costumam utilizar editores de código como o VSCode ou o Cursor quando escrevem código, que podem ser considerados o Word dos engenheiros, algo que abrem e utilizam diariamente.

No final de 2025, a comunidade de investigação em segurança descobriu uma grave vulnerabilidade nestes editores: quando os programadores abriam projetos de código partilhados por terceiros, comandos maliciosos ocultos nos projetos eram executados automaticamente em segundo plano, de forma totalmente dissimulada, sem que fossem exibidas janelas de confirmação no ecrã, sem exigir cliques para aceitar e sem apresentar quaisquer avisos. Os programadores pensavam que estavam apenas a «analisar código», mas, na realidade, tinham sido instaladas portas traseiras nos seus computadores. Os atacantes aproveitaram esta vulnerabilidade para ocultar malware nas operações diárias que os programadores realizavam habitualmente.

Quando o ataque Drift ocorreu, a 1 de abril, os registos das conversas dos atacantes no Telegram e todos os vestígios de malware já tinham sido completamente apagados, deixando apenas um rombo de 285 milhões de dólares.

Será que o Drift é apenas a ponta do iceberg?

De acordo com uma investigação realizada pela organização de resposta de emergência em segurança SEAL 911 no setor das criptomoedas, este ataque foi levado a cabo pelo mesmo grupo de cibercriminosos responsável pelo ataque à Radiant Capital, em outubro de 2024. As ligações incluem fluxos de fundos na cadeia de blocos (os fundos utilizados para preparar e testar esta operação remontam aos autores do ataque Radiant) e padrões operacionais (as identidades utilizadas nesta operação apresentam sobreposições identificáveis com atividades conhecidas da Coreia do Norte). A Mandiant, uma conhecida empresa de análise forense de segurança contratada pela Drift (agora parte da Google), tinha anteriormente atribuído o incidente da Radiant à organização UNC4736, ligada ao Estado norte-coreano; no entanto, a Mandiant ainda não atribuiu formalmente o incidente da Drift, e a análise forense completa dos dispositivos ainda está em curso.

É de salientar que as pessoas que participaram pessoalmente nas reuniões não eram cidadãos norte-coreanos. Steven afirmou: «Os hackers norte-coreanos não devem ser vistos como uma organização de pirataria informática típica, mas sim como uma agência de informações; trata-se de uma grande organização com milhares de pessoas e funções claramente definidas.» Entre eles, o grupo de hackers norte-coreano Lazarus é formalmente conhecido no âmbito da segurança internacional como APT38, enquanto outra organização afiliada, a Kimsuky, é designada como APT43.

Isso explica por que conseguem mobilizar pessoas reais no terreno. Criam empresas no estrangeiro sob vários nomes, recrutando pessoal local, que pode nem sequer saber para quem está a trabalhar. «Ele pode pensar que entrou para uma empresa normal de teletrabalho e, passado um ano, é enviado para se encontrar com um cliente; tudo parece normal, mas por trás disso está uma organização de hackers.» «Quando as autoridades vêm investigar, essa pessoa não sabe de nada.»

Ora, o Drift pode ser apenas a ponta do iceberg.

Se o incidente da Drift revelou uma vulnerabilidade num único protocolo, as investigações subsequentes apontam para um problema mais vasto: os mesmos métodos podem ter estado em ação em todo o ecossistema DeFi há anos.

De acordo com a investigação do investigador de blockchain Tayvano, desde a rápida expansão da DeFi em 2020, as contribuições de código associadas a profissionais de TI norte-coreanos têm-se espalhado por vários projetos de renome, incluindo SushiSwap, THORChain, Harmony, Ankr e Yearn Finance.

Os métodos utilizados por estas pessoas são surpreendentemente semelhantes aos do incidente Drift: utilizam identidades falsas, conseguem cargos de desenvolvimento através de plataformas de freelancers e contactos diretos, entram em canais do Discord e em comunidades de programadores, e chegam mesmo a participar em reuniões de programadores. Uma vez integrados no projeto, contribuem com código, participam nos ciclos de desenvolvimento e criam uma relação de confiança com a equipa até compreenderem toda a arquitetura do protocolo e aguardarem o momento certo para agir.

Steven acredita que, nas agências de inteligência tradicionais, é possível ficar à espera durante toda a vida, com a geração seguinte a dar continuidade às tarefas inacabadas da geração anterior. Para eles, os projetos Web3 são de curto prazo e oferecem elevados retornos, e a natureza do trabalho remoto permite que uma única pessoa desempenhe várias funções em diferentes projetos, o que é bastante comum no setor Web3 e não levanta suspeitas.

«A organização de hackers norte-coreana inclui todos os projetos Web3 no seu âmbito de ataque, analisando cuidadosamente cada projeto e recolhendo informações sobre os membros das equipas.» «A compreensão que têm dos projetos é mais clara do que a das próprias equipas de projeto», afirmou Steven. A razão pela qual a Web3 se tornou um alvo principal é que este ecossistema dispõe de uma grande quantidade de fundos, carece de uma regulamentação global unificada e a prevalência do trabalho remoto torna frequentemente impossível verificar as verdadeiras identidades dos colaboradores e funcionários. Além disso, o facto de os profissionais serem, em geral, jovens e inexperientes proporciona um ambiente ideal para a infiltração por parte dos serviços secretos norte-coreanos.

Os incidentes de pirataria informática são comuns; será que as equipas de projeto só podem ficar à espera?

Se analisarmos os principais incidentes dos últimos anos, a engenharia social tem sido sempre uma tática fundamental dos grupos de hackers norte-coreanos. Recentemente, foi lançado o livro de memórias do fundador da Binance, CZ, intitulado «Binance Life», que relata o incidente ocorrido em maio de 2019, quando a Binance foi alvo de um ataque cibernético que resultou no roubo de 7 000 bitcoins. Segundo a CZ, os hackers infiltraram-se primeiro nos computadores portáteis de vários funcionários utilizando malware avançado e, em seguida, introduziram comandos maliciosos durante a etapa final do processo de levantamento, roubando todas as 7 000 bitcoins da carteira quente à 1 da manhã (no valor aproximado de 40 milhões de dólares na altura). CZ escreveu no livro que, com base nos métodos de ataque, os hackers já se encontravam à espreita na rede da Binance há algum tempo e havia fortes suspeitas de que fossem membros do grupo norte-coreano Lazarus, tendo possivelmente subornado funcionários internos.

O incidente da Ronin Network em 2022 é também um caso clássico. A Ronin é a sidechain subjacente ao popular jogo de blockchain Axie Infinity, responsável por gerir todas as transferências entre cadeias de ativos do jogo, com uma grande quantidade de fundos bloqueados na altura. O ataque teve início quando um programador recebeu uma proposta de emprego aparentemente muito bem remunerada de uma empresa de renome e descarregou um ficheiro contendo malware durante o processo de entrevista, permitindo que os atacantes obtivessem acesso ao sistema interno e, por fim, roubassem 625 milhões de dólares.

O incidente da CoinsPaid em 2023 utilizou táticas quase idênticas. A CoinsPaid é uma empresa prestadora de serviços de pagamentos em criptomoedas, e os atacantes abordaram os funcionários de forma semelhante, através de um processo de recrutamento falso, levando-os a instalar malware antes de se infiltrarem no sistema. Os métodos de pirataria informática mais recentes tornaram-se ainda mais diversificados: videochamadas falsificadas, contas nas redes sociais comprometidas e malware disfarçado de software para reuniões.

As vítimas receberam links de reuniões do Calendly que pareciam normais e, ao clicar neles, foram levadas a instalar uma aplicação de reuniões falsa, permitindo que o malware roubasse carteiras digitais, palavras-passe, frases de recuperação e registos de comunicação. Estima-se que, através desses métodos, grupos de hackers norte-coreanos tenham roubado mais de 300 milhões de dólares.

Ao mesmo tempo, vale a pena referir também o destino final dos fundos roubados. Steven afirmou que os fundos roubados acabam por ficar sob o controlo do governo norte-coreano. A lavagem de dinheiro é realizada por uma equipa especializada dentro da organização, que configura mixers e abre contas com identidades falsas em várias plataformas de câmbio, seguindo um processo completo e complexo: os fundos são «lavados» através de mixers imediatamente após serem roubados, depois trocados por moedas de privacidade e, posteriormente, transferidos entre diferentes projetos DeFi, circulando repetidamente entre plataformas de câmbio e DeFi.

«Todo o processo é concluído em cerca de 30 dias, e os fundos acabam por chegar a casinos no Sudeste Asiático, a pequenas plataformas de câmbio que não exigem verificação de identidade (KYC) e a prestadores de serviços OTC em Hong Kong e no Sudeste Asiático, onde são levantados.»

Assim, face a este novo modelo de ameaça, em que os adversários não são apenas atacantes, mas também participantes, como deve a indústria da criptografia responder?

Steven acredita que as equipas de projeto que gerem grandes quantias de fundos devem contratar equipas de segurança profissionais, criar cargos específicos dedicados à segurança dentro da equipa e garantir que todos os membros principais cumpram rigorosamente os protocolos de segurança. É especialmente importante que os dispositivos de desenvolvimento e os dispositivos responsáveis pelas assinaturas financeiras estejam rigorosamente isolados fisicamente. Ele referiu especificamente que uma questão fundamental no incidente Drift foi a desativação do mecanismo de buffer de bloqueio temporal, «que nunca deveria ser desativado em circunstância alguma».

No entanto, ele também admitiu que, se os serviços secretos norte-coreanos pretendem realmente infiltrar-se profundamente, mesmo verificações rigorosas dos antecedentes teriam dificuldade em identificá-los na totalidade. Mas é ainda assim fundamental recorrer a equipas de segurança. Ele sugeriu que as equipas de projeto criassem equipas azuis (a vertente defensiva na ofensiva e na defesa cibernéticas), uma vez que estas equipas azuis podem não só ajudar a reforçar a segurança dos dispositivos e dos comportamentos, como também monitorizar continuamente os nós-chave, permitindo a deteção e resposta imediatas a ataques em caso de flutuações anormais. «Confiar exclusivamente nas capacidades de segurança da própria equipa do projeto não é suficiente para resistir a este nível de ataque.»

Acrescentou ainda que as capacidades de guerra cibernética da Coreia do Norte se situam entre as cinco melhores do mundo, ficando apenas atrás dos Estados Unidos, da Rússia, da China e de Israel. Perante tais adversários, confiar apenas em auditorias de código está longe de ser suficiente.

Conclusão

O incidente da Drift demonstra que as maiores ameaças que a DeFi enfrenta atualmente não se limitam às condições do mercado ou à liquidez; em termos de segurança, não se trata apenas de prevenir vulnerabilidades no código, pois podem existir espiões escondidos mesmo ao seu lado.

Quando os atacantes estão dispostos a dedicar seis meses e a investir milhões de dólares para cultivar uma relação, as auditorias de código tradicionais e as defesas de segurança revelam-se simplesmente insuficientes. Além disso, de acordo com as investigações existentes, este conjunto de táticas poderá ter estado em ação em vários projetos há anos, mas ainda não foi descoberto.

A questão central já não é se a DeFi conseguirá manter a descentralização e a abertura; a verdadeira questão é: será que conseguirá resistir à infiltração desses adversários bem disfarçados, mantendo-se ao mesmo tempo aberta?