Em 1 de abril de 2026, às 16:00 UTC, o valor total do tesouro do Drift Protocol era de 309 milhões de dólares. Uma hora depois, restavam apenas 41 milhões de dólares. Isto não é uma brincadeira de 1 de abril — a equipa do Drift foi forçada a esclarecer especificamente na plataforma X que “isto não é uma brincadeira de 1 de abril”. O atacante desviou cerca de 285 milhões de dólares em ativos criptográficos do protocolo, tornando-se o maior incidente de vulnerabilidade DeFi de 2026 até agora, e o mais grave incidente de segurança na ecossistema Solana desde que a ponte Wormhole foi roubada de 325 milhões de dólares em 2022.

Não foi um ataque de empréstimo relâmpago, nem uma exploração de vulnerabilidade no código do contrato inteligente. O atacante utilizou uma rota de ataque anteriormente quase não discutida na literatura pública — o nonce duradouro (durable nonce) que mantém um valor fixo ao longo do tempo, dificultando a detecção e mitigação de ataques baseados em repetição de transações.