Protocolo Drift é alvo de ataque hacker que resultou em prejuízo de US$ 285 milhões: o que deu errado e o que acontece a seguir?

Em 1º de abril de 2026, o protocolo Drift, baseado em Solana, foi alvo de um ataque que resultou em um prejuízo de aproximadamente US$ 285 milhões, tornando-se o maior ataque hacker a uma plataforma DeFi do ano até o momento. O atacante utilizou uma estratégia que durou várias semanas, envolvendo um token falso, manipulação de cotações e transações pré-assinadas, para assumir o controle administrativo do protocolo e, em seguida, drenar os fundos reais dos usuários em menos de 12 minutos.

O que aconteceu com o protocolo Drift em 1º de abril?

O ataque não surgiu do nada. De acordo com a equipe do Drift Protocol, foi o resultado de dias de preparação que só se tornaram visíveis quando o dano já estava feito.

O valor total bloqueado (TVL) da Drift caiu de aproximadamente US$ 550 milhões para menos de $ 300 milhões Em menos de uma hora, o token DRIFT caiu mais de 40% durante o incidente. Empresa de segurança PeckShield confirmado O prejuízo ultrapassou os 285 milhões de dólares, representando mais de 50% do valor total perdido (TVL) do protocolo na época.

O momento escolhido causou confusão imediata. A equipe de Drift publicou um comunicado no X para esclarecer que a situação era real, escrevendo: "Isto não é uma brincadeira de 1º de abril. Procedam com cautela até novo aviso."

O protocolo suspendeu todos os depósitos e saques assim que a investigação começou.

Como o atacante preparou a vulnerabilidade com dias de antecedência?

Segundo relatos, o atacante passou pelo menos 9 dias criando as condições para o roubo antes de executá-lo.

O Token Falso e a Armadilha do Oráculo

O atacante criou um token chamado Token CarbonVote (CVT)Eles cunharam aproximadamente 750 milhões de unidades. Criaram um pool de liquidez na Raydium com apenas US$ 500 e usaram negociações fictícias, comprando e vendendo o token entre suas próprias carteiras, para construir um histórico de preços falso próximo a US$ 1. Com o tempo, os oráculos de preço on-chain detectaram esse preço artificial e trataram o CVT como um ativo legítimo valendo cerca de US$ 1 por token.

Um oráculo é um serviço que fornece dados de preços externos para um contrato inteligente. Quando um oráculo recebe dados manipulados, o contrato inteligente não tem como saber que o preço é falso.

O Ataque Duradouro do Nonce

Em outra frente, o atacante usou um recurso do Solana chamado nonces duráveis ​​para pré-assinar transações e atrasar sua execução. Um nonce durável substitui o mecanismo normal de expiração de transações, permitindo que uma transação assinada seja mantida e submetida a qualquer momento no futuro.

Descubra projetos promissores...

Projetos promissores...

(Propaganda)

O artigo continua...

A linha do tempo:

• 23 de março: Foram criadas quatro contas nonce duráveis. Duas estavam vinculadas a membros reais do multisig do Conselho de Segurança da Drift. Duas eram controladas pelo atacante.
• 27 de março: A Drift migrou seu Conselho de Segurança devido a uma mudança planejada em sua composição. O invasor também obteve acesso a duas assinaturas na assinatura múltipla atualizada.
• 30 de março: Uma nova conta nonce permanente foi criada para um membro da multisig atualizada.
• 1 de abril: O atacante executou duas transações nonce duráveis ​​pré-assinadas, com quatro slots de distância entre elas, concluindo uma transferência administrativa que lhe conferiu o controle das permissões em nível de protocolo.

Com o acesso administrativo garantido, o atacante listou o CVT como um mercado válido na Drift, removeu todos os limites de saque, depositou centenas de milhões de tokens CVT como garantia e, em seguida, executou 31 saques rápidos, drenando ativos reais, incluindo USDC, JLP, SOL, BTC encapsulado, Jito (JTO) e a memecoin Fartcoin (FRT), em aproximadamente 12 minutos.

A Drift confirmou que o ataque não resultou de uma falha em seus contratos inteligentes ou de frases-semente comprometidas. Em vez disso, envolveu "aprovações de transações não autorizadas ou deturpadas, obtidas antes da execução".

Auditorias de segurança realizadas pela Trail of Bits em 2022 e pela ClawSecure em fevereiro de 2026 haviam inocentado a Drift, mas nenhuma das duas análises detectou a introdução do CVT no mercado ou as mudanças de governança que tornaram o ataque possível.

Para onde foram os fundos roubados?

Após a exploração da vulnerabilidade, o atacante agiu rapidamente para ocultar os rastros.

Os ativos roubados foram convertidos em USDC e SOL, e então transferidos da Solana para a Ethereum usando o Protocolo de Transferência entre Cadeias (CCTP) da Circle. Na Ethereum, o atacante converteu os fundos em ETH. De acordo com o rastreamento on-chain, o atacante acumulou um total de 129,066 ETH, equivalentes a aproximadamente [valor omitido]. $ 273 milhões no momento.

O atacante também depositou SOL tanto na HyperLiquid quanto na Binance, complicando os esforços de rastreamento em múltiplas plataformas e carteiras.

A Circle fez o suficiente para impedir o roubo?

Investigador on-chain ZachXBT criticado publicamente Circle após a exploração, destacando que grandes quantidades de USDC roubado foram transferidas da Solana para a Ethereum durante o horário comercial dos EUA sem serem congeladas.

ZachXBT contrastou essa resposta com a recente decisão da Circle de congelar 16 carteiras online corporativas não relacionadas em um processo civil sigiloso nos EUA, argumentando que a Circle tinha tanto a capacidade quanto o precedente para intervir, mas não agiu com rapidez suficiente para limitar os danos.

Quais protocolos foram afetados além da deriva?

As consequências se estenderam por todo o ecossistema DeFi da Solana. Diversas plataformas conectadas à liquidez da Drift pausaram suas operações ou reportaram perdas:

• A PiggyBank_fi reportou uma exposição de aproximadamente US$ 106,000 por meio de estratégias delta-neutras e cobriu usuários diretamente usando fundos da equipe.
• A Reflect Money suspendeu a emissão e os resgates de USDC+ e USDT+.
• A Ranger Finance suspendeu os depósitos e saques em RGUSD, com uma exposição estimada em mais de US$ 900,000.
• A Project0 parou de tomar empréstimos usando as posições da Drift como garantia, por precaução.
• TradeNeutral, GetPyra, xPlace, Uselulo e Elemental DeFi pausaram funcionalidades importantes ou relataram exposição limitada.
• A Jupiter Exchange confirmou que seu fundo JLP permanece totalmente garantido.

O que acontecerá a seguir com a Drift?

A Drift está coordenando ações com diversas empresas de segurança, corretoras, plataformas de negociação e autoridades policiais para rastrear e recuperar os ativos roubados. A assinatura multisig foi atualizada para remover a carteira comprometida. Todas as demais funções do protocolo permanecem congeladas.

De acordo com a Immunofi CEO Mitchell AmadorO impacto no preço do token muitas vezes persiste mesmo após o ataque. Dados da Immunefi mostram que 83% dos tokens nativos de protocolos hackeados nunca se recuperam aos preços anteriores ao ataque.

Um relatório detalhado da investigação sobre o acidente de Drift é esperado nos próximos dias.

Recursos

1. PeckShield no X: Postagens (1 a 2 de abril)

2. Lookonchain no X: Postagens (1 a 2 de abril)

3. Protocolo de Deriva em X: Postagens (1 a 2 de abril)

4. Mitchell Amador em XPostagem de 25º de março