O explorador do Drift Protocol reforça a sua posição na Ethereum após desviar $285 milhões em ativos

O atacante do Drift Protocol está a intensificar a acumulação de Ethereum após ter levado a cabo uma operação sofisticada direcionada aos sistemas administrativos do protocolo e drenado 285 milhões de dólares dos seus cofres.

De acordo com dados acompanhados pela Lookonchain, o ator malicioso gastou milhões em USDC para adquirir 130.262 ETH, no valor de cerca de 265 milhões de dólares, ao longo do último dia.

O explorador do Drift Protocol acabou de gastar mais 2,46M em $USDC para comprar 1.195 $ETH.

Agora já compraram 130.262 $ETH($267M) no total.https://t.co/ZKbh8J7jRR pic.twitter.com/5Z3Jq2X9NM

— Lookonchain (@lookonchain) 2 de abril de 2026

A Ethereum estava a ser negociada a 2.038 dólares no momento da publicação, tendo recuado cerca de 4% durante o mesmo período, segundo a CoinGecko.

O token nativo da Drift, DRIFT, caiu acentuadamente para 0,049 dólares, perdendo mais de 30% do seu valor desde o ataque.

O que aconteceu ao Drift Protocol?

O ataque foi sinalizado pela primeira vez a 1 de abril, quando o CEO da Helius, Mert Mumtaz, alertou a comunidade de que o Drift Protocol poderia estar a ser explorado.

ainda não 100% totalmente certo, mas parece que a drift pode estar a ser explorada

monitoriza as tuas posições https://t.co/xaHqJNDHg2

— mert (@mert) 1 de abril de 2026

Pouco tempo depois, a PeckShield identificou saídas anómalas envolvendo mais de 15 tokens, confirmando uma grande exploração. As perdas iniciais foram estimadas em cerca de 270 milhões de dólares.

Cerca de duas horas mais tarde, a equipa do Drift Protocol reconheceu publicamente o incidente no X, suspendendo todos os depósitos e levantamentos enquanto coordenava com empresas de segurança, bridges e exchanges para lidar com o incidente.

Como o ataque foi preparado

De acordo com a mais recente atualização da Drift, o atacante visou a camada humana e processual do Security Council multisig, uma estrutura administrativa 2-de-5 que controla permissões críticas a nível do protocolo.

Mais cedo hoje, um ator malicioso obteve acesso não autorizado ao Drift Protocol através de um ataque novo envolvendo nonces duráveis, resultando numa tomada rápida dos poderes administrativos do Security Council da Drift.

Esta foi uma operação altamente sofisticada que parece ter envolvido…

— Drift (@DriftProtocol) 2 de abril de 2026

Preparação

A operação foi cuidadosamente preparada ao longo de várias semanas. Conforme indicado pelo projeto, contas de nonce durável foram criadas na Solana já a 23 de março para permitir a execução diferida de transações pré-assinadas.

Ao obter assinaturas de aprovação de pelo menos dois dos cinco membros do Security Council, provavelmente através de engenharia social ou deturpação das transações, o atacante acumulou autorização suficiente para assumir o controlo administrativo.

Durante este período, foram estabelecidas quatro contas de nonce durável a 23 de março, duas ligadas a membros existentes do Security Council e duas controladas pelo atacante.

Quando a Drift realizou uma migração planeada do Security Council a 27 de março, o atacante adaptou-se criando uma conta adicional de nonce durável a 30 de março ligada a um membro do multisig recém-nomeado.

Execução

O ataque foi executado a 1 de abril, pouco depois de a equipa da Drift ter concluído um teste legítimo de levantamento a partir do seu fundo de seguros.

O atacante submeteu duas transações de nonce durável pré-assinadas com apenas quatro slots de diferença na rede Solana. A primeira transação criou e aprovou uma transferência administrativa maliciosa, e a segunda aprovou e executou-a.

Com controlo total das permissões a nível do protocolo, o atacante introduziu um ativo malicioso, removeu todos os limites de levantamento pré-definidos e drenou fundos através de aproximadamente 31 transações em cerca de 12 minutos.

Os fundos afetados incluem depósitos em pools de borrow-and-lend, depósitos em vaults e ativos mantidos para negociação.

A Drift confirmou que o fundo de seguros e os tokens DSOL não depositados diretamente na plataforma, incluindo ativos apostados no validador da Drift, não foram afetados.

Consequências financeiras

Antes da exploração, o Drift Protocol tinha um valor total bloqueado (TVL) superior a 550 milhões de dólares, tornando-o numa das maiores aplicações DeFi da Solana, de acordo com a DeFiLlama.

No seu pico, o TVL do Drift Protocol atingiu 1,3 mil milhões de dólares. Após o ataque, o TVL caiu para cerca de 247 milhões de dólares.

O token DRIFT, que tinha negociado acima de 0,07 dólares antes da brecha, desceu para cerca de 0,04 dólares, refletindo uma queda de 42% num prazo de 24 horas. A sua capitalização de mercado diminuiu de aproximadamente 41 milhões de dólares para 25 milhões de dólares.

A exploração também afetou aproximadamente 11 protocolos a jusante. Por exemplo, a Ranger Finance enfrentou uma exposição estimada em 900.000 dólares.

O que é o Drift Protocol?

Fundado em 2021, o Drift distingue-se das bolsas centralizadas por operar totalmente na blockchain da Solana, garantindo que os fundos dos utilizadores permanecem sob o seu próprio controlo.

Em setembro de 2024, a empresa angariou 25 milhões de dólares numa ronda Série B liderada pela Multicoin Capital, com participação adicional da Blockchain Capital, Primitive Ventures e Folius Ventures.

O cofundador Cindy Leow pretende tornar a Drift o “Robinhood das criptomoedas”, construindo um conjunto integrado de serviços financeiros que inclui negociação spot e de derivados, bem como um mercado de previsões.

                    **Divulgação:** Este artigo foi editado por Vivian Nguyen. Para mais informações sobre como criamos e analisamos conteúdos, ver a nossa Política Editorial.