Uma bolsa de futuros perpétuos baseada na Solana perdeu US$ 286 milhões em 12 minutos no dia 1º de abril de 2026, depois que os invasores passaram três semanas criando discretamente garantias falsas e aplicando engenharia social contra os signatários do protocolo. O incidente tem sido o assunto mais comentado nos círculos de criptomoedas nos últimos dias.
Hack do Drift Protocol em 2026: o que aconteceu, quem perdeu dinheiro e o que vem a seguir
ESCRITO POR
PARTILHAR
Grupo Lazarus da Coreia do Norte é suspeito de roubo de US$ 286 milhões no Drift Protocol
O Drift Protocol, a maior bolsa descentralizada de futuros perpétuos da rede Solana, confirmou a exploração após observar seu valor total bloqueado (TVL) despencar de cerca de US$ 550 milhões para menos de US$ 250 milhões em uma única manhã, situando-se agora em US$ 232 milhões. O Bitcoin.com News foi o primeiro a noticiar o assunto. O token DRIFT caiu entre 37% e 42% nas horas seguintes, atingindo uma cotação mínima entre US$ 0,04 e US$ 0,05.
Relatórios indicam que o ataque não começou com um bug de código, mas com uma retirada do Tornado Cash. Em 11 de março, o invasor retirou ETH do protocolo de privacidade baseado em Ethereum e usou esses fundos para lançar o token carbonvote, ou CVT, em 12 de março. Analistas de blockchain observaram que o carimbo de data/hora do lançamento correspondia a aproximadamente 09h00, horário de Pyongyang, um detalhe que levantou suspeitas imediatas.
Vários relatórios detalham que, nas três semanas seguintes, o invasor injetou liquidez mínima para o CVT na bolsa descentralizada Raydium e utilizou wash trading para manter um preço próximo a US$ 1,00. Os oráculos do Drift interpretaram esse preço como legítimo. O invasor havia criado garantias falsas que pareciam reais para todos os sistemas automatizados que as monitoravam.
“Hoje cedo, um agente mal-intencionado obteve acesso não autorizado ao Protocolo Drift por meio de um ataque inovador envolvendo nonces duráveis, resultando na rápida tomada de controle dos poderes administrativos do Conselho de Segurança da Drift”, escreveu a equipe da Drift.
A conta do projeto no X acrescentou:
“Esta foi uma operação altamente sofisticada que parece ter envolvido várias semanas de preparação e execução em etapas, incluindo o uso de contas com nonces duráveis para pré-assinar transações que atrasavam a execução.”
Aparentemente, entre 23 e 30 de março, o invasor do Drift passou para a camada humana. Usando um recurso legítimo da Solana chamado nonces duráveis, o invasor teria induzido membros da multisig do Conselho de Segurança do Drift a pré-assinar transações que pareciam rotineiras. Essas assinaturas se tornaram chaves de acesso pré-aprovadas, mantidas em reserva até que o invasor estivesse pronto.
A brecha foi fechada em 27 de março, quando a Drift migrou seu Conselho de Segurança para um limite de assinatura de 2 em 5 e removeu totalmente seu bloqueio de tempo. Um bloqueio de tempo normalmente impõe um atraso de 24 a 72 horas nas ações administrativas, dando à comunidade tempo para detectar e reverter qualquer coisa suspeita. Sem ele, o invasor tinha autoridade de execução sem atraso. As transações pré-assinadas entraram em vigor no momento em que o bloqueio de tempo foi removido.
Em 1º de abril, o invasor ativou essas transações, listou o CVT como garantia válida, aumentou os limites de saque e depositou centenas de milhões em tokens CVT, contra os quais o mecanismo de risco da Drift emitiu ativos reais. O protocolo entregou milhões em tokens JLP, milhões em USDC, milhões em SOL e quantidades menores de bitcoin e ethereum wrapped. Trinta e uma transações de saque foram liquidadas em cerca de 12 minutos.
O invasor converteu os tokens roubados em USDC usando o Jupiter, fez a ponte para a Ethereum e trocou por dezenas de milhares de ETH. Alguns fundos foram encaminhados pela Hyperliquid, e uma parte foi transferida diretamente para a Binance. Em 3 de abril, a Drift enviou uma mensagem na cadeia de blocos de um endereço Ethereum para quatro carteiras controladas pelo hacker. A publicação cryptonomist.ch relata que a mensagem dizia:
“Estamos prontos para conversar.”
As empresas de segurança Elliptic e TRM Labs atribuíram o ataque a agentes de ameaças ligados à Coreia do Norte, citando a origem do Tornado Cash, a assinatura de implantação no horário de Pyongyang, o foco em engenharia social e a velocidade de lavagem pós-hack. O Grupo Lazarus utilizou a mesma paciência e abordagem voltada para alvos humanos no hack da ponte Ronin em 2022. O governo dos EUA relacionou esses roubos ao financiamento do programa de armas da Coreia do Norte, e a Elliptic rastreou mais de US$ 300 milhões roubados somente no primeiro trimestre de 2026.
O contágio se espalhou para mais de 20 protocolos. A Prime Numbers Fi relatou perdas na casa dos milhões. O Carrot Protocol suspendeu as funções de cunhagem e resgate depois que 50% de seu TVL foi afetado. O Pyra Protocol desativou totalmente os saques, deixando todos os fundos dos usuários inacessíveis. O Piggybank perdeu US$ 106.000 e reembolsou os usuários com recursos do próprio tesouro da equipe.
A DeFi Development Corp., uma empresa listada na Nasdaq com uma estratégia de tesouro baseada em Solana, confirmou em 1º de abril que não tinha exposição ao Drift. Sua estrutura de risco excluía totalmente o protocolo. Esse fato atraiu mais atenção do que a empresa provavelmente pretendia.
Vulnerabilidade no Drift Protocol SOL resulta em perda de mais de US$ 200 milhões: o maior ataque à DeFi de 2026?
O Drift Protocol na Solana teria perdido mais de US$ 200 milhões em um suposto ataque de 1º de abril de 2026. O token nativo do projeto sofreu uma queda significativa. read more.
Leia agora
Vulnerabilidade no Drift Protocol SOL resulta em perda de mais de US$ 200 milhões: o maior ataque à DeFi de 2026?
O Drift Protocol na Solana teria perdido mais de US$ 200 milhões em um suposto ataque de 1º de abril de 2026. O token nativo do projeto sofreu uma queda significativa. read more.
Leia agoraVulnerabilidade no Drift Protocol SOL resulta em perda de mais de US$ 200 milhões: o maior ataque à DeFi de 2026?
Leia agoraO Drift Protocol na Solana teria perdido mais de US$ 200 milhões em um suposto ataque de 1º de abril de 2026. O token nativo do projeto sofreu uma queda significativa. read more.
O incidente com o Drift produziu uma lição clara que a maior parte do setor já conhecia, mas não havia aplicado totalmente: um bloqueio temporário não é opcional. A remoção dessa única salvaguarda em 27 de março transformou um ataque complexo, que duraria várias semanas, em uma retirada de fundos em 12 minutos. A governança de um protocolo sem um mecanismo de atraso é uma governança com a porta aberta.
As 48 horas seguintes ao ataque à DeFi foram descritas como críticas para a capacidade da Drift de manter a confiança dos usuários e traçar um caminho de recuperação. Até 3 de abril, nenhum plano abrangente de reembolso havia sido anunciado.
Perguntas frequentes 🔎
- O que aconteceu com o Drift Protocol? Os invasores drenaram US$ 286 milhões do Drift Protocol em 1º de abril de 2026, usando garantias falsas e transações administrativas pré-assinadas para esvaziar os cofres centrais do protocolo em 12 minutos.
- Quem é o responsável pelo hack do Drift Protocol? Empresas de segurança, incluindo a Elliptic e a TRM Labs, atribuíram o ataque a agentes de ameaças ligados à Coreia do Norte, citando padrões de lavagem de dinheiro e registros de data e hora na blockchain consistentes com as táticas do Grupo Lazarus.
- Meu dinheiro está seguro no Drift Protocol? O Drift suspendeu todos os depósitos e saques após o ataque; usuários em protocolos afetados, como Pyra e Carrot, continuam sem conseguir acessar seus fundos desde 3 de abril de 2026.
- O que é um ataque de nonce durável no Solana DeFi? Um ataque de nonce durável usa um recurso legítimo do Solana para pré-assinar transações que parecem rotineiras, mantendo-as como chaves de autorização ativas até que o invasor decida executá-las.
