#DriftProtocolHacked

O Despertar do Drift Protocol: Erro Humano, Não Código
1 de abril de 2026 será lembrado como um dia sísmico para a Solana e o mundo DeFi. O Drift Protocol, uma das principais bolsas de futuros perpétuos e derivados na Solana, sofreu o que agora é considerado o segundo maior exploit na história da Solana—$285M milhões desapareceram das cofres dos utilizadores em questão de horas. Mas aqui está o twist: nenhum contrato inteligente foi quebrado. Nenhuma chave privada foi roubada no sentido convencional. Trata-se de um ataque à camada humana executado com precisão cirúrgica.
No seu pico, o Drift Protocol detinha aproximadamente $285 milhões em valor total bloqueado em cofres partilhados em USDC, JitoSOL, tokens JLP, Bitcoin embrulhado e Solana. Na tarde de 1 de abril, o TVL tinha colapsado para $550 milhões. O método? Engenharia social do mais alto nível. Os atacantes aproveitaram o sistema multisig de 5 de 9 do Conselho de Segurança do Drift, passando semanas a elaborar um plano que não dependia de vulnerabilidades no código, mas de confiança.
A partir de cerca de 23 de março de 2026, os atacantes criaram contas nonce duráveis ligadas às carteiras dos signatários multisig. Essas contas permitiam a execução de transações pré-assinadas a qualquer momento futuro, sem o conhecimento da equipa. Até 27 de março, durante uma migração de multisig de rotina—um evento legítimo de manutenção do protocolo—os atacantes embutiram a sua infraestrutura sob o disfarce de operações normais. Até 1 de abril, as transações pré-assinadas foram disparadas automaticamente, dando aos atacantes controlo total de administração em apenas quatro slots da blockchain Solana—cerca de dois segundos.
Uma vez controlada, a ataque desenrolou-se em três fases calculadas: assumiram poderes administrativos completos, introduziram um ativo falso chamado CarbonVote Token e fizeram wash-trading para manipular oráculos de preço, e os limites de retirada foram completamente removidos. Vinte cofres partilhados foram esvaziados sistematicamente. O valor do token DRIFT caiu mais de 40% em poucas horas.
Os fundos foram movidos quase instantaneamente para fora da cadeia. Aproximadamente 278,5 milhões de dólares foram bridged para a Ethereum via o Cross-Chain Transfer Protocol da Circle, evitando USDT para minimizar o risco de congelamento centralizado. Quatro endereços Ethereum agora detêm os ativos roubados, com partes rastreadas até Tornado Cash e exchanges, adicionando camadas de ofuscação. Relatórios de segurança sugerem ligações potenciais com entidades norte-coreanas, destacando a dimensão geopolítica agora entrelaçada com o risco DeFi.
A resposta do Drift foi rápida, mas só conseguiu limitar danos adicionais: depósitos e retiradas foram pausados, o multisig comprometido foi removido, e os fundos de seguro foram confirmados como seguros. A equipa está a coordenar com as autoridades e empresas de segurança para atribuição e recuperação, prometendo uma análise detalhada do incidente.
A lição principal? Sistemas multisig, por mais seguros tecnicamente que sejam, são apenas tão fortes quanto os humanos que os operam. Nonces duráveis—uma funcionalidade nativa da Solana—introduziram uma vulnerabilidade de pré-assinatura que o ecossistema mais amplo ainda precisa de resolver. Engenharia social dos signatários deixou de ser uma teoria; $24 milhões em fundos perdidos provam isso em escala.
Todo protocolo DeFi que utilize governança multisig deve urgentemente auditar a exposição aos nonces. Cada utilizador deve entender que auditorias de código não podem substituir a vigilância da camada humana. O exploit do Drift Protocol é um momento decisivo—um teste brutal, mas necessário, do design de segurança descentralizado, um lembrete claro de que, no DeFi, a confiança não é apenas código.
DeFi não está quebrado. Mas está a ser submetido a testes mais difíceis do que nunca. A perda de $285 milhões é uma lição humana escrita em capital e tempo—uma que o ecossistema não pode permitir ignorar.
DeFi não está quebrado. Mas está a ser testado mais do que nunca antes.
$285