2,85 mil milhões de dólares evaporaram! Drift Protocol foi atacado, por que razão a linha de defesa de segurança DeFi é praticamente ineficaz?

1 de abril de 2026, Dia da Mentira. A plataforma de contratos perpétuos descentralizados do ecossistema Solana, Drift Protocol, sofreu um ataque hacker de grande escala, com um total de aproximadamente 2,85 mil milhões de dólares em ativos roubados, tornando-se o maior evento de perda única na área DeFi em 2026.

Isto não é uma brincadeira. É mais uma advertência pesada na história da segurança DeFi.

Como ocorreu o ataque?

O ataque não foi repentino, mas sim resultado de cerca de oito dias de preparação meticulosa. Dados na blockchain mostram que o endereço da carteira do atacante foi criado a 24 de março, tendo obtido fundos iniciais através do sistema de cross-chain NEAR Intents, e enviado uma pequena transação de teste ao cofre do Drift para verificar os privilégios de controlo do contrato.

Às 16h00 de 1 de abril (UTC), a janela de ataque foi oficialmente aberta. O atacante, ao obter privilégios de administrador na carteira multiassinatura do protocolo, esvaziou em uma hora vários pools de liquidez de ativos como USDC, SOL, cbBTC, WETH, e transferiu-os cross-chain para a rede Ethereum, trocando por cerca de 12,9 mil ETH (valor aproximado de 2,78 mil milhões de dólares).

O caminho do ataque foi claro e fatal:

· Emissão de tokens falsos CVT
· Manipulação de preços de oráculos
· Desativação de módulos de segurança
· Extração de ativos de alto valor

Os fundos roubados estão dispersos em 4 endereços Ethereum, e o valor total bloqueado na plataforma (TVL) caiu de 550 milhões de dólares para cerca de 255 milhões de dólares.

Causa raiz: ausência de bloqueio de tempo (Time Lock)

A vulnerabilidade central deste ataque reside numa falha de segurança na configuração de gestão multiassinatura do Drift. O relatório de revisão da SlowMist indica que, cerca de uma semana antes do ataque, o Drift ajustou o mecanismo multiassinatura para um modo "2/5" (um assinante antigo mais quatro novos assinantes), sem definir qualquer bloqueio de tempo (Timelock).

O bloqueio de tempo é um mecanismo de atraso obrigatório, que exige uma espera de 24 a 48 horas após alterações de privilégios de alta permissão, permitindo uma janela de detecção de anomalias pela comunidade e pelas entidades de segurança. A ausência de um bloqueio de tempo significa que, se a chave privada de um novo assinante for comprometida ou controlada maliciosamente, o atacante pode executar operações de nível administrador imediatamente.

O atacante aproveitou o único assinante original na multiassinatura antiga, juntamente com um novo assinante, para assinar conjuntamente e transferir os privilégios de administrador para um endereço sob seu controlo, contornando assim todas as proteções de segurança ao nível do utilizador.

Método do atacante: pré-assinatura + ataque de engenharia social

Este ataque combinou a técnica de pré-assinatura baseada em números aleatórios persistentes com métodos avançados de engenharia social. Desde 23 de março, o atacante criou contas de números aleatórios persistentes para dois assinantes multiassinatura e duas contas controladas por ele. Através de manipulação do conteúdo das transações, obteve pré-assinaturas de assinantes legítimos, armazenou-as usando números aleatórios persistentes, e executou em massa a partir de 1 de abril, conquistando assim privilégios de administrador. Este incidente não envolveu divulgação de frases-semente ou vulnerabilidades em contratos inteligentes.

Reação em cadeia na indústria

Antes, o Drift Protocol era um dos maiores protocolos de empréstimo no ecossistema Solana, com financiamento acumulado superior a 52 milhões de dólares, com investidores como Multicoin Capital, Polychain e outros fundos de capital de risco de topo.

Após o incidente, o token Drift caiu mais de 40% em curto espaço de tempo. Como envolve vários ativos do ecossistema Solana, tokens como SOL, JUP também sofreram quedas de diferentes graus.

O token DRIFT caiu de cerca de 0,072 dólares para 0,055 dólares, tendo já caído cerca de 98% do seu pico anterior ao incidente.

A equipa oficial do Drift suspendeu rapidamente todas as funções de depósito e levantamento, reforçando que “isto não é uma brincadeira de Dia da Mentira”. A carteira Phantom tomou medidas rápidas, bloqueando o acesso ao protocolo.

Preocupação maior: hackers da Coreia do Norte?

Charles Guillemet, CTO da Ledger, afirmou que a técnica de ataque utilizada nesta vulnerabilidade do Drift é idêntica à do incidente de hacking da Bybit em 2025, amplamente associado a hackers ligados à Coreia do Norte. Guillemet destacou que o ataque não visou contratos inteligentes, mas sim uma infiltração prolongada nos dispositivos dos assinantes multiassinatura, induzindo-os a aprovar transações maliciosas, com os assinantes muitas vezes a pensar que estavam a autorizar operações legítimas.

Como proteger os seus ativos?

· Se já interagiu com o Drift Protocol, retire imediatamente as autorizações, verificando as aplicações conectadas através da carteira Phantom
· Considere usar várias carteiras para diversificar riscos; para fundos elevados, recomenda-se o uso de carteiras de hardware
· Mantenha-se atento a protocolos DeFi de alto rendimento, verificando periodicamente as autorizações de contratos inteligentes

Aviso de segurança

O ataque ao Drift Protocol prova mais uma vez uma verdade simples: o maior risco em DeFi não vem de vulnerabilidades no código, mas sim de vulnerabilidades humanas. A configuração de mecanismos multiassinatura, a gestão de chaves privadas, a auditoria de processos de assinatura — estes “processos de segurança” são muito mais críticos do que a auditoria de código. Apenas 10 dias após o incidente Resolv, que ocorreu por não ter configurado um mecanismo multiassinatura, colapsou. Apesar de o Drift ter um sistema de multiassinatura, a sua configuração com limiar demasiado baixo e sem bloqueio de tempo também levou à sua queda.

Estes dois eventos demonstram claramente que uma reformulação fundamental da arquitetura de privilégios é urgentemente necessária.

#DriftProtocol遭駭客攻擊