Drift no Dia da Mentira: mais de 2,8 mil milhões de dólares roubados. Hacker ou auto-roubo?

Shaw, Notícias de Finanças em Dourado

2 de abril, o Drift Protocol, uma plataforma de negociação de derivados, sofreu um incidente de segurança, e os dados on-chain mostram perdas superiores a 285 milhões de dólares. A equipa do projeto afirmou que detetou atividade anómala e está a investigar, alertando os utilizadores para não depositarem fundos no protocolo neste momento, e salientando que “isto não é uma brincadeira do Dia das Mentiras”.

Este ataque envolveu vários fundos, incluindo JLP Delta Neutral, SOL Super Staking e BTC Super Staking, entre outros. Uma única transação transferiu cerca de 41,7 milhões de tokens JLP no valor de aproximadamente 155 milhões de dólares; além disso, também foram retirados ativos como SOL, USDC, cbBTC e wBTC.

De acordo com estatísticas, o incidente poderá tornar-se um dos maiores ataques DeFi na era da Solana, depois do exploit do Wormhole bridge, em termos de escala.

I. Progresso mais recente do incidente de ataque ao Drift Protocol

No dia 1 de abril de 2026, horário do leste dos EUA, a plataforma descentralizada de derivados da Solana Drift Protocol sofreu um ataque informático significativo. Os ativos roubados ascenderam a cerca de 285 milhões de dólares. Os principais ativos roubados incluíram: cerca de 41,7 milhões de tokens JLP, no valor de 155,6 milhões de dólares; e também vários ativos como USDC, SOL, cbBTC, wBTC e outros. Este incidente de roubo tornou-se um dos segundos maiores ataques da história da Solana e, ao mesmo tempo, um dos maiores em escala na área DeFi.

Em seguida, a equipa oficial do Drift Protocol publicou um texto na plataforma social para confirmar: “O Drift Protocol está a ser atacado. As funções de depósito e levantamento foram suspensas. Estamos a colaborar com várias entidades de segurança, pontes de cadeia cruzada e bolsas para controlar totalmente a situação. Isto não é uma brincadeira do Dia das Mentiras. Mais informações serão publicadas primeiro neste mesmo perfil.”

O ataque começou na madrugada do dia 2 de abril. A plataforma de monitorização on-chain PeckShield emitiu um alerta: o endereço do cofre principal do Drift começou a fazer grandes transferências para uma nova carteira criada, HkGz4K. Os principais ativos transferidos na primeira vaga foram tokens JLP (Jito Liquidity Provider), no valor de cerca de 155 milhões de dólares; depois vieram USDC, SOL, cbBTC, wBTC, WETH e ainda parte de moedas meme. Os dados da PeckShield mostram que, num curto espaço de tempo, o total de ativos que saiu atingiu 285 milhões de dólares.

De acordo com a monitorização da Yu Jin, os 285 milhões de dólares em ativos roubados pelo Drift já foram convertidos em 129.000 ETH (278 milhões de dólares). Nas últimas horas, o hacker vendeu estes ativos através de vários métodos e fez a transferência para a cadeia Ethereum em forma de bridge/cross-chain; depois, na cadeia Ethereum, comprou ETH. Neste momento, os 285 milhões de dólares em ativos roubados na Solana já foram convertidos e comprados em cadeia Ethereum, totalizando 129.066 ETH.

Além disso, a equipa de segurança SlowMist declarou em publicações nas redes sociais que, neste momento, os fundos roubados já foram praticamente concentrados nos seguintes endereços Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, perfazendo um total de: 105.969 ETH (aprox. 226 milhões de dólares).

Conjunto de endereços do hacker:

II. Interpretação do ataque ao Drift Protocol: o projeto “rouba a própria guarda”?

Este ataque foi uma combinação cuidadosamente planeada de invasão de permissões + manipulação de preços. O núcleo do caso está em que, após o hacker ter obtido permissões de administrador, ao falsificar tokens e manipular oráculos, ele ultrapassou instantaneamente os limites de fundos e saqueou o cofre do protocolo. Ao obter a chave privada de administrador, o hacker desativou o controlo principal de risco do protocolo (limite de levantamentos); em seguida, usando colaterais falsos, retirou em lote fundos do pool e concluiu a lavagem de dinheiro através da transferência cross-chain de ativos.

Relativamente ao caso em que o ataque ao Drift Protocol levou ao roubo de ativos, Yu Xuan, fundador da SlowMist, publicou uma análise do incidente, apontando que uma semana antes do ataque, o Drift ajustou o mecanismo multisig para “2/5” (1 antigo signatário + 4 novos signatários) e não configurou nenhum time lock (timelock). Após isso, o atacante obteve as permissões de administrador, forjou tokens CVT, manipulou o oráculo, desligou mecanismos de segurança e transferiu ativos de alto valor a partir do pool.

O cofundador da Chaos Labs, Omer Goldberg também publicou uma declaração nas redes sociais indicando que, uma semana antes, o Drift migrou para uma nova carteira multisig, criada por um dos signatários do multisig anterior. E este signatário não se adicionou à nova lista de signatários. O atacante, simultaneamente, iniciou uma proposta no multisig antigo para transferir as permissões de administrador para esta nova carteira. O novo multisig tem 5 signatários; apenas 1 é proveniente da equipa original, e os restantes 4 são endereços totalmente novos. Esta carteira está configurada com um limiar multisig de 2/5 e sem qualquer time lock (atraso de 0 segundos). Cerca de 5 horas atrás, o único signatário original iniciou, via a nova multisig, uma proposta para alterar as permissões de administrador do Drift. Um novo signatário subscreveu em 1 segundo, atingindo instantaneamente o limiar 2/5. Como não existe time lock, a transação é executada imediatamente.

Com base nos indícios on-chain atuais, no comportamento da equipa, no fluxo de fundos e outros fatores, a possibilidade de “roubo da própria guarda” é de facto a direção com maior discussão e com as maiores suspeitas no círculo neste momento — e até parece mais lógico do que a “invasão por um hacker externo”. Antes, a equipa oficial ajustou o multisig, tornando a estrutura de permissões demasiado “conveniente para ataques”, algo que não parece um acidente; a forma de ataque “demonstrava demasiado conhecimento da lógica interna”, não combinando com o estilo típico de um hacker externo; e a equipa oficial reagiu de forma invulgarmente calma perante o roubo de um volume tão elevado de ativos. Depois do roubo, o fluxo de fundos foi extremamente limpo e claro: trocou-se rapidamente por ETH e realizou-se a operação cross-chain, sem que entrassem em bolsas centralizadas suscetíveis de bloqueio fácil. Todo este processo e lógica operacional. Fizeram com que as suspeitas da comunidade sobre o Drift oficial “roubar a própria guarda” se tornassem ainda mais intensas.

III. Partes relevantes e reações da comunidade cripto

Após o incidente de roubo de ativos do Drift Protocol, as partes envolvidas e a comunidade cripto reagiram de maneiras diferentes:

• No incidente de roubo dos ativos do protocolo DeFi Drift, a perda de posição JLP é de cerca de 155,6 milhões de dólares. A este respeito, a Jupiter oficial afirmou que a plataforma não foi afetada por este incidente. O seu produto de empréstimos Jupiter Lend não envolve o mercado Drift, e os ativos JLP “são totalmente suportados por ativos subjacentes”. A Jupiter também referiu que este incidente representa “um dia difícil” para o ecossistema Solana DeFi e manifestou preocupação tanto com a equipa Drift como com os utilizadores afetados.

• O protocolo de geração de rendimento Unitas Protocol publicou um post na rede X afirmando que não foi afetado pelo incidente do ataque ao Drift Protocol. A Unitas não tem qualquer exposição no Drift. Todo o colateral está seguro, e todas as estratégias (incluindo a estratégia de JLP Delta neutra) estão a funcionar normalmente. Os fundos dos utilizadores estão seguros. O colateral pode ser verificado em tempo real através dos dashboards de provas de reserva da Accountable e da Primus Labs.

• A Meteora, protocolo de liquidez da Solana publicou um post na rede X afirmando que todo o dinheiro na Meteora está seguro; todas as funcionalidades e o cofre da plataforma não interagem com o protocolo Drift.

• A fundadora da infraestrutura de stablecoins Perena, Anna publicou um post na rede X afirmando que o seu Perena USD*, USD*-J e USD*-P não foram afetados pelo incidente do ataque ao Drift. Contudo, o cofre JLP gerido pelo Neutral Trade, uma plataforma de partilha de estratégias de quantificação do ecossistema Solana, foi afetado por estar a operar no Drift Protocol; a equipa está em contacto com os parceiros e continuará a atualizar o progresso.

• Utilizador da plataforma X @hzkj99: O protocolo de ativos da ecosistema SOL Drift Protocol foi roubado, com perdas na ordem de centenas de milhões. Em tudo o que envolva fundos, a segurança é sempre a primeira prioridade, e especialmente no mercado em baixa também haverá, com certeza, novos protocolos roubados. Este mundo é uma enorme “operação improvisada” (grass-roots). Alguns protocolos até podem ser roubados várias vezes, e o Drift também não é, de maneira nenhuma, o último a ser roubado.

• Utilizador da plataforma X @lanhubiji: O Drift Protocol sofreu uma exploração de vulnerabilidade de grande escala, com perdas na ordem de ~270 milhões de dólares, sendo um dos maiores incidentes de ataque DeFi até à data de 2026. Alguns posts, de forma séria, dizem “A Solana Foundation está a coordenar um rollback com os servidores do porão do Toly (cofundador)”. Embora seja uma piada, dizer isso vai um pouco longe.

• Utilizador da plataforma X @EnHeng456: Guardar dinheiro num mercado em baixa é mesmo preciso ter muito cuidado, cada vez mais o ambiente está inseguro; há notícias de roubos por todo o lado. Alguns protocolos antigos também têm problemas especificamente durante mercados em baixa. É difícil até distinguir se é um ataque de hackers ou “roubo da própria guarda”. Recentemente também tenho sido mais conservador: deixo-o de forma simples em USD1, sem voltar a guardar por todo o lado. Nesta conjuntura, quanto mais mexe, mais fácil é dar problema; às vezes, não fazer nada é a melhor opção. O Drift foi roubado com 200 milhões de dólares e foi parar no bolso do general.

IV. Impacto do incidente de roubo do Drift Protocol

O incidente de roubo de 285 milhões de dólares do Drift Protocol é o segundo maior ataque DeFi na história do ecossistema Solana. O impacto vai muito além do próprio protocolo, atingindo fortemente a confiança no ecossistema Solana e acelerando mudanças na segurança do DeFi.

Este ataque expôs uma falha fatal dos projetos DeFi na gestão de permissões multisig e na segurança de oráculos. Permissões é dinheiro do cofre; se a chave do administrador for comprometida e não houver mecanismos de travagem de emergência como time lock, qualquer lógica de código complexa pode falhar instantaneamente. Para o Drift Protocol, a menos que consigam recuperar o grande valor roubado ou que haja um grande ator que assuma a posição (“pega na cadeira”), o destino será liquidação, falência e processos judiciais. Para a Solana e o seu ecossistema, isso causa um golpe sério na reputação, com saída de capital a curto prazo e abrandamento do crescimento; a longo prazo, força inevitavelmente atualizações de segurança. E para toda a indústria DeFi, pode-se dizer que é um divisor de águas: “a segurança de permissões é superior à segurança do código” torna-se uma regra de ferro; o custo de confiança sobe rapidamente; e o DeFi entrará numa nova fase de maior conformidade, maior transparência e maior centralização (governação de segurança).