🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A exchange descentralizada baseada em Solana, Drift, confirmou que os invasores drenaram cerca de US$ 285 milhões da plataforma durante um incidente de segurança ocorrido em 1º de abril de 2026.
"Hoje cedo, um ator mal-intencionado obteve acesso não autorizado ao Drift Protocol por meio de um novo ataque envolvendo nonces duráveis, resultando em uma rápida aquisição dos poderes administrativos do Conselho de Segurança do Drift", disse a empresa em uma série de postagens no X.
“Esta foi uma operação altamente sofisticada que parece ter envolvido uma preparação de várias semanas e uma execução faseada, incluindo o uso de contas nonce duráveis para pré-assinar transações que atrasaram a execução.”
A Drift observou que o ataque não explorou uma vulnerabilidade em seus programas ou contratos inteligentes e que não há evidências de frases-semente comprometidas. Em vez disso, diz-se que a violação "envolveu aprovações de transações não autorizadas ou deturpadas, obtidas antes da execução, provavelmente facilitadas por mecanismos nonce duráveis e engenharia social sofisticada", explicou.
Para esse fim, os agentes da ameaça obtiveram aprovações suficientes de múltiplas assinaturas (multisig) e executaram uma transferência administrativa maliciosa em poucos minutos para obter o controle das permissões em nível de protocolo, aproveitando-a para "introduzir um ativo malicioso e remover todos os limites de retirada predefinidos, atacando os fundos existentes".
De acordo com um cronograma de eventos compartilhado pela Drift, os preparativos para o hack estavam em andamento já em 23 de março de 2026. A empresa disse que está coordenando com várias empresas de segurança para determinar a causa do incidente, acrescentando que está trabalhando com pontes, bolsas e autoridades para rastrear e congelar os ativos roubados.
Em relatórios separados publicados na quinta-feira, tanto a Elliptic quanto a TRM Labs disseram que há indicações na rede de que ladrões de criptomoedas norte-coreanos podem estar por trás do roubo de criptomoedas.
Isso incluiu o uso de Tornado Cash para preparação inicial, bem como os padrões de ponte entre cadeias e a velocidade e escala da lavagem pós-hack que são consistentes com hacks anteriormente atribuídos a atores de ameaças norte-coreanos, incluindo a exploração massiva do Bybit em 2025.
"A vulnerabilidade crítica não era um bug de contrato inteligente, mas uma combinação de assinantes multisig de engenharia social com pré-assinatura de autorizações ocultas e uma migração do Conselho de Segurança com timelock zero que eliminou a última linha de defesa do protocolo", disse o TRM Labs.
"O invasor fabricou um ativo totalmente fictício - CarbonVote Token - com alguns milhares de dólares em liquidez semeada e negociação de lavagem, e os oráculos da Drift trataram-no como uma garantia legítima no valor de centenas de milhões de dólares."
A empresa de inteligência de blockchain também apontou que o token CarbonVote foi implantado às 09h30, horário de Pyongyang.
A Elliptic, em sua própria análise do incidente de segurança, disse que o comportamento na cadeia, as metodologias de lavagem e os indicadores no nível da rede se alinham com o comércio conhecido associado a atores de ameaças da República Popular Democrática da Coreia (RPDC).
A empresa também observou que, se confirmado, este incidente "representaria o décimo oitavo ato da RPDC" que rastreou desde o início do ano, com mais de US$ 300 milhões roubados até o momento.
"É uma continuação da campanha sustentada da RPDC de roubo de criptoativos em grande escala, que o governo dos EUA vinculou ao financiamento de seus programas de armas", disse Elliptic. "Acredita-se que atores ligados à RPDC tenham roubado mais de US$ 6,5 bilhões de dólares em criptoativos nos últimos anos."
Estima-se que a operação norte-coreana de roubo de criptoativos tenha arrecadado um recorde de US$ 2 bilhões em 2025, dos quais aproximadamente US$ 1,46 bilhão se originaram do hack da Bybit em fevereiro de 2025.
O principal caminho de acesso inicial através do qual esses ataques são executados continua sendo a engenharia social, aproveitando personas persuasivas e iscas para atingir os setores de criptomoeda e Web3 por meio de campanhas rastreadas como DangerousPassword (também conhecida como CageyChameleon, CryptoMimic e CryptoCore) e Contagious Entrevista. No final de fevereiro de 2026, os ganhos combinados das campanhas gêmeas totalizaram US$ 37,5 milhões este ano.
"A operação de roubo de criptoativos da RPDC não é uma série de incidentes isolados. É uma campanha sustentada e com bons recursos que está crescendo em escala e sofisticação", disse Elliptic.
"A evolução das técnicas de engenharia social da RPDC, combinada com a crescente disponibilidade de IA para refinar e aperfeiçoar esses métodos, significa que a ameaça se estende muito além das exchanges. Desenvolvedores individuais, contribuidores de projetos e qualquer pessoa com acesso à infraestrutura de criptoativos são um alvo potencial."
O desenvolvimento coincide com o comprometimento da cadeia de suprimentos do popular pacote Axios npm, que vários fornecedores de segurança, incluindo Google, Microsoft, CrowdStrike e Sophos, atribuíram a uma Coreia do Norte
"Hoje cedo, um ator mal-intencionado obteve acesso não autorizado ao Drift Protocol por meio de um novo ataque envolvendo nonces duráveis, resultando em uma rápida aquisição dos poderes administrativos do Conselho de Segurança do Drift", disse a empresa em uma série de postagens no X.
“Esta foi uma operação altamente sofisticada que parece ter envolvido uma preparação de várias semanas e uma execução faseada, incluindo o uso de contas nonce duráveis para pré-assinar transações que atrasaram a execução.”
A Drift observou que o ataque não explorou uma vulnerabilidade em seus programas ou contratos inteligentes e que não há evidências de frases-semente comprometidas. Em vez disso, diz-se que a violação "envolveu aprovações de transações não autorizadas ou deturpadas, obtidas antes da execução, provavelmente facilitadas por mecanismos nonce duráveis e engenharia social sofisticada", explicou.
Para esse fim, os agentes da ameaça obtiveram aprovações suficientes de múltiplas assinaturas (multisig) e executaram uma transferência administrativa maliciosa em poucos minutos para obter o controle das permissões em nível de protocolo, aproveitando-a para "introduzir um ativo malicioso e remover todos os limites de retirada predefinidos, atacando os fundos existentes".
De acordo com um cronograma de eventos compartilhado pela Drift, os preparativos para o hack estavam em andamento já em 23 de março de 2026. A empresa disse que está coordenando com várias empresas de segurança para determinar a causa do incidente, acrescentando que está trabalhando com pontes, bolsas e autoridades para rastrear e congelar os ativos roubados.
Em relatórios separados publicados na quinta-feira, tanto a Elliptic quanto a TRM Labs disseram que há indicações na rede de que ladrões de criptomoedas norte-coreanos podem estar por trás do roubo de criptomoedas.
Isso incluiu o uso de Tornado Cash para preparação inicial, bem como os padrões de ponte entre cadeias e a velocidade e escala da lavagem pós-hack que são consistentes com hacks anteriormente atribuídos a atores de ameaças norte-coreanos, incluindo a exploração massiva do Bybit em 2025.
"A vulnerabilidade crítica não era um bug de contrato inteligente, mas uma combinação de assinantes multisig de engenharia social com pré-assinatura de autorizações ocultas e uma migração do Conselho de Segurança com timelock zero que eliminou a última linha de defesa do protocolo", disse o TRM Labs.
"O invasor fabricou um ativo totalmente fictício - CarbonVote Token - com alguns milhares de dólares em liquidez semeada e negociação de lavagem, e os oráculos da Drift trataram-no como uma garantia legítima no valor de centenas de milhões de dólares."
A empresa de inteligência de blockchain também apontou que o token CarbonVote foi implantado às 09h30, horário de Pyongyang.
A Elliptic, em sua própria análise do incidente de segurança, disse que o comportamento na cadeia, as metodologias de lavagem e os indicadores no nível da rede se alinham com o comércio conhecido associado a atores de ameaças da República Popular Democrática da Coreia (RPDC).
A empresa também observou que, se confirmado, este incidente "representaria o décimo oitavo ato da RPDC" que rastreou desde o início do ano, com mais de US$ 300 milhões roubados até o momento.
"É uma continuação da campanha sustentada da RPDC de roubo de criptoativos em grande escala, que o governo dos EUA vinculou ao financiamento de seus programas de armas", disse Elliptic. "Acredita-se que atores ligados à RPDC tenham roubado mais de US$ 6,5 bilhões de dólares em criptoativos nos últimos anos."
Estima-se que a operação norte-coreana de roubo de criptoativos tenha arrecadado um recorde de US$ 2 bilhões em 2025, dos quais aproximadamente US$ 1,46 bilhão se originaram do hack da Bybit em fevereiro de 2025.
O principal caminho de acesso inicial através do qual esses ataques são executados continua sendo a engenharia social, aproveitando personas persuasivas e iscas para atingir os setores de criptomoeda e Web3 por meio de campanhas rastreadas como DangerousPassword (também conhecida como CageyChameleon, CryptoMimic e CryptoCore) e Contagious Entrevista. No final de fevereiro de 2026, os ganhos combinados das campanhas gêmeas totalizaram US$ 37,5 milhões este ano.
"A operação de roubo de criptoativos da RPDC não é uma série de incidentes isolados. É uma campanha sustentada e com bons recursos que está crescendo em escala e sofisticação", disse Elliptic.
"A evolução das técnicas de engenharia social da RPDC, combinada com a crescente disponibilidade de IA para refinar e aperfeiçoar esses métodos, significa que a ameaça se estende muito além das exchanges. Desenvolvedores individuais, contribuidores de projetos e qualquer pessoa com acesso à infraestrutura de criptoativos são um alvo potencial."
O desenvolvimento coincide com o comprometimento da cadeia de suprimentos do popular pacote Axios npm, que vários fornecedores de segurança, incluindo Google, Microsoft, CrowdStrike e Sophos, atribuíram a uma Coreia do Norte
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #drift #perde #us$ #285 #milhões #em #ataque #durável #de #engenharia #social #vinculado #à #rpdc
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário