Em 1 de abril de 2026, a bolsa descentralizada de contratos perpétuos sem custódia do ecossistema Solana, Drift Protocol, foi alvo de um ataque informático, com um total de ativos roubados de cerca de 285 milhões de dólares. O atacante obteve permissões de administrador da carteira multi-assinatura (multisig) do protocolo e, no espaço de uma hora, esvaziou ativos em múltiplos pools de fundos, incluindo USDC, SOL, cbBTC, WETH, entre outros, antes de os transferir através de cadeias (cross-chain) para a rede Ethereum, onde foram convertidos para cerca de 129.000 ETH (no valor de aproximadamente 278 milhões de dólares). Até 2 de abril de 2026, os fundos roubados tinham sido dispersos e armazenados em 4 endereços Ethereum; o valor total bloqueado do protocolo (TVL) caiu abruptamente de 550 milhões de dólares para cerca de 255 milhões de dólares. O incidente tornou-se o maior evento de segurança, em termos de perda única, no setor DeFi em 2026.
Linha temporal do ataque e percurso técnico
O ataque não aconteceu de forma súbita, tendo passado por um período de preparação de cerca de oito dias. Os dados on-chain mostram que o endereço da carteira do atacante, HkGz4K…, foi criado em 24 de março de 2026. Obteve fundos iniciais através do sistema de cross-chain NEAR Intents e enviou uma pequena transação de teste (cerca de 2,52 dólares) para o Drift Vault, a fim de validar as permissões de controlo do contrato. A janela de ataque foi oficialmente aberta em 1 de abril às 16:00 UTC:
- A primeira transação retirou cerca de 41,7 milhões de tokens JLP do cofre (Vault) do Drift (no valor de aproximadamente 155,6 milhões de dólares).
- Cerca de 11 transações coordenadas adicionais foram extraindo sucessivamente, ao longo de 60 minutos, ativos como USDC, SOL, cbBTC, wBTC, WETH, etc., perfazendo um total acumulado de 285 milhões de dólares.
No percurso técnico, o atacante não explorou uma vulnerabilidade no código de contrato inteligente. Em vez disso, obteve permissões de administrador na carteira multi-assinatura e executou, sucessivamente, as seguintes ações: cunhar tokens falsos CVT → manipular o preço do oráculo → desativar o módulo de segurança → retirar ativos de alto valor.
Falha crítica: mecanismo multi-assinatura e ausência de timelock
A causa direta deste ataque foi uma falha de segurança na configuração de gestão multi-assinatura do protocolo Drift. O relatório de reconstituição do incidente pela entidade de segurança SlowMist indica que, cerca de uma semana antes do ataque, o Drift ajustou o mecanismo multi-assinatura para o modo «2/5» (1 signatário antigo mais 4 signatários novos) e não configurou qualquer timelock (Timelock).
O timelock é um mecanismo de atraso forçado que exige que, após alterações de configuração com permissões elevadas, exista um período de espera de 24–48 horas para que as alterações entrem em vigor. Isso oferece à comunidade e às entidades de segurança uma janela de amortecimento para detetar anomalias. A ausência de timelock significa que, uma vez que a chave privada de um novo signatário seja roubada ou controlada de forma maliciosa, o atacante pode executar imediatamente ações de nível de administrador. O atacante usou o signatário original único na multi-assinatura antiga, em coordenação com outro signatário adicionado, para assinar e transferir as permissões de administrador para um endereço sob o seu controlo, contornando assim as proteções de segurança a nível de utilizador.
Lógica de branqueamento via cross-chain e conversão para ETH
Após obter sucesso, o atacante iniciou o processo de disposição dos fundos:
- Transferência cross-chain: através de protocolos cross-chain como Wormhole, transferiu ativos multiativos da cadeia Solana para a rede Ethereum.
- Conversão unificada: em exchanges descentralizadas na Ethereum, converteu todos os ativos, como USDC, SOL, wBTC, para ETH.
- Dispersão de endereços: cerca de 129.000 ETH (no valor de aproximadamente 278 milhões de dólares) foram armazenadas de forma dispersa em 4 endereços Ethereum.
A lógica de escolher ETH como ativo final inclui: a rede Ethereum ter a maior liquidez, facilitando a realização rápida; converter vários ativos provenientes de pagamentos fraudulentos para um único ativo para cortar o rasto de rastreio on-chain dos fundos originais; a dispersão dos endereços reduz o risco de congelamento total de um único endereço. Parte do USDC na rede Ethereum foi congelada pelo emissor Circle, mas a percentagem face ao total roubado é extremamente baixa.
Impacto no TVL do protocolo Drift e no ecossistema Solana
O impacto financeiro direto do evento no protocolo Drift reflete-se nos dados de TVL. Segundo estatísticas da DeFiLlama:
Momento (UTC)
TVL (dólares)
1 de abril, 00:00
Cerca de 550 milhões
1 de abril, 22:41
Cerca de 255 milhões
Um corte a meio do TVL significa redução do tamanho dos pools de liquidez. Isso levará ao aumento do slippage nas transações, à diminuição da eficiência de capital e, em consequência, à compressão do volume de transações do protocolo e da receita de taxas. Do ponto de vista mais macro do ecossistema Solana, este evento é o maior incidente de segurança em DeFi nesse ecossistema desde o ataque à ponte Wormhole em 2022 (326 milhões de dólares). De janeiro a março de 2026, 15 protocolos DeFi perderam um total de aproximadamente 137 milhões de dólares, enquanto a perda do incidente único da Drift foi cerca de duas vezes esse valor. Ao mesmo tempo, foi muito superior ao registo anterior de maior perda num único incidente, de 27,3 milhões de dólares.
Papel de intervenção do emissor de stablecoins e zona cinzenta regulatória
A resposta, com rapidez, do emissor de stablecoins Circle gerou discussão na indústria. Após o ataque, parte do USDC na rede Ethereum foi congelada pelo Circle, mas uma grande quantidade de USDC transferida através de pontes cross-chain não foi bloqueada a tempo, por não envolver endereços de custódia direta do Circle. O analista on-chain ZachXBT criticou isso, argumentando que o Circle tem atrasos na resposta no mecanismo de congelamento de USDC cross-chain.
Esta controvérsia expõe uma zona cinzenta regulatória nos incidentes de segurança DeFi: a obrigação de intervenção proativa do emissor de stablecoins em ambientes cross-chain não tem um enquadramento legal claro nem consenso na indústria. Atualmente, emissores como o Circle apenas conseguem congelar USDC controlado por endereços em custódia direta do Circle na sua cadeia nativa (Ethereum). Para «bridge USDC» gerado através de pontes cross-chain de terceiros como o Wormhole, ou ativos encapsulados após a transação cross-chain, o emissor não possui autorização direta para congelar. Este caso pode impulsionar os reguladores a impor exigências mais específicas sobre as obrigações de resposta ao risco por parte dos emissores de stablecoins.
Conclusão
A contradição estrutural central do incidente do ataque à Drift está em: os protocolos DeFi vendem do lado do utilizador a proposta de não-custódia e sem necessidade de confiança, mas a nível de governação conservam, muitas vezes, permissões de administrador altamente centralizadas (normalmente chamadas «chave-mestra»). Após o atacante obter permissões de administrador, consegue executar três operações de alto risco num único transação: criar um mercado falso, manipular o preço do oráculo e desativar as limitações de levantamento. Isto demonstra que o protocolo não tem mecanismos robustos de validação em camadas, limites de atraso operacional e condições de ativação de controlo de risco em tempo real.
Vale a pena notar que, na versão v1 do protocolo Drift, em 2022, a equipa perdeu 14,5 milhões de dólares devido a um problema semelhante de permissões administrativas. Depois disso, realizou uma compensação total e publicou uma reconstituição técnica. Quatro anos depois, o mesmo padrão reapareceu em escala maior. Isso indica que, mesmo após reconstituições e iterações, o risco de centralização de permissões na arquitetura de segurança central ainda não foi resolvido de forma fundamental.
FAQ
P: Os 285 milhões de dólares roubados do Drift Protocol podem ser recuperados?
A 2 de abril de 2026, os fundos roubados foram transferidos cross-chain para a rede Ethereum, convertidos em ETH e armazenados de forma dispersa em 4 endereços. A taxa global de recuperação de fundos em incidentes de segurança DeFi em 2026 é inferior a 7% (de 137 milhões de dólares, apenas 9 milhões foram recuperados). Devido a o atacante ter usado caminhos de dispersão multiendereços maduros e lavagem cross-chain, a viabilidade de recuperação técnica é extremamente baixa.
P: Este ataque afeta a segurança de outros protocolos DeFi no ecossistema Solana?
Este ataque surgiu de uma vulnerabilidade específica do próprio protocolo Drift, tanto na configuração multi-assinatura como no mecanismo de timelock, e não de uma falha sistémica na blockchain subjacente Solana nem de um padrão de contratos inteligentes genérico. No entanto, o incidente irá amplificar de forma significativa o escrutínio das entidades de auditoria e dos utilizadores relativamente às configurações de permissões a nível de governação de outros protocolos DeFi dentro do ecossistema Solana, podendo desencadear, no curto prazo, uma redistribuição entre protocolos do TVL.
P: Como devem os programadores do protocolo impedir ataques semelhantes com permissões de administrador?
Os padrões de segurança da indústria recomendam três medidas principais: primeiro, definir um timelock de pelo menos 24 horas para todas as alterações de configuração com permissões elevadas e emparelhar com monitorização automática e alertas; segundo, adotar um esquema multi-assinatura com, no mínimo, um limiar de 4/7 ou superior, e as chaves privadas dos signatários devem ser armazenadas em módulos de segurança de hardware (HSM) e isoladas fisicamente; terceiro, implementar módulos on-chain de controlo de risco em tempo real, de modo que, quando uma transação envolva operações de administrador e o valor exceda um limiar pré-definido, seja acionada automaticamente a execução diferida e o processo de validação pela comunidade.
