A Elliptic afirmou quinta-feira que a exploração de $285 milhões do Drift Protocol, a maior deste ano, apresenta "múltiplos indicadores" do envolvimento do grupo de hackers da RPDC patrocinado pelo Estado da Coreia do Norte.
A empresa de pesquisa apontou especificamente para o comportamento onchain, metodologias de branqueamento e sinais de nível de rede, todos alinhados com ataques anteriores ligados ao Estado.
O Drift Protocol, cujo token caiu mais de 40% para aproximadamente $0,06 desde o ataque, é a maior bolsa descentralizada de futuros perpétuos na blockchain Solana.
"Se confirmado, este incidente representará o décimo oitavo ato da RPDC que a Elliptic rastreou este ano, com mais de $300 milhões roubados até agora", afirmou o relatório.
"É uma continuação da campanha sustentada da RPDC de roubo de criptoativos em larga escala, que o governo dos EUA vinculou ao financiamento dos seus programas de armamento. Acredita-se que atores ligados à RPDC sejam responsáveis por milhares de milhões de dólares em roubo de criptoativos nos últimos anos", acrescentou a Elliptic.
Horas antes, os dados da Arkham mostraram que mais de $250 milhões foram transferidos do Drift para uma carteira intermediária e depois para vários outros endereços.
Em dezembro, um relatório da Chainalysis revelou que os hackers da RPDC roubaram um recorde de $2 mil milhões em cripto em 2025, incluindo a violação de $1,4 mil milhões da Bybit, representando um aumento de 51% em relação ao ano anterior. O Departamento do Tesouro dos EUA afirmou no mês passado que a Coreia do Norte usa os ativos roubados para financiar o programa de armas de destruição em massa do país.
Em vez de se concentrar na exploração em si, a análise da Elliptic destaca um padrão operacional familiar. A atividade parece "premeditada e cuidadosamente encenada", com transações de teste iniciais e carteiras pré-posicionadas precedendo o evento principal.
O relatório explica que, uma vez executados, os fundos foram rapidamente consolidados e trocados, transferidos através de chains e convertidos em ativos mais líquidos, refletindo um fluxo de branqueamento estruturado e repetível projetado para obscurecer a origem enquanto mantém o controlo.
Um desafio central, observa a Elliptic, é o modelo de conta da Solana. Como cada ativo é mantido numa conta de token separada, a atividade ligada a um único ator pode parecer fragmentada em múltiplos endereços. Sem vincular estes, os investigadores arriscam-se a ver "fragmentos da atividade do atacante, não o quadro completo".
É aqui que o relatório da Elliptic destaca a abordagem de clustering, que conecta contas de token de volta a uma única entidade, permitindo que a exposição seja identificada independentemente do endereço verificado. Num incidente envolvendo mais de uma dúzia de tipos de ativos, essa visão ao nível da entidade torna-se crítica.
O caso também enfatiza, acrescenta a Elliptic no seu relatório, como o branqueamento se tornou inerentemente cross-chain. Os fundos moveram-se de Solana para Ethereum e além, demonstrando a necessidade do que a Elliptic descreveu como "capacidades holísticas de rastreamento cross-chain".
Fonte: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
