Drift “April Fools” mais de 280 milhões de dólares roubados. Hackers ou auto-roubo?

Shaw, O Noticiário Económico “Caixa Dourada”

Em 2 de abril, a plataforma de negociação de derivados Drift Protocol sofreu um incidente de segurança, com base nos dados on-chain que indicam perdas superiores a 285 milhões de dólares. A equipa do projeto afirma que detetou atividades anómalas e está a investigar, alertando os utilizadores para não depositarem fundos no protocolo e destacando que “isto não é uma brincadeira de 1.º de abril”.

Este ataque envolveu múltiplos pools de fundos, incluindo JLP Delta Neutral, SOL Super Staking e BTC Super Staking, entre outros. Uma única transferência de cerca de 41,7 milhões de tokens JLP tem um valor de aproximadamente 155 milhões de dólares; além disso, outros ativos como SOL, USDC, cbBTC e wBTC também foram retirados.

De acordo com as estatísticas, este incidente poderá vir a tornar-se um dos maiores ataques DeFi na era de Solana, depois do exploit do Wormhole bridge no ecossistema Solana.

I. Evolução mais recente do incidente de ataque ao Drift Protocol

À hora de 1 de abril de 2026 (horário do leste dos EUA), o protocolo descentralizado de derivados Drift Protocol, no ecossistema Solana, sofreu um grande ataque de um hacker, com ativos roubados no valor de cerca de 285 milhões de dólares. Os principais ativos roubados incluem: cerca de 41,7 milhões de tokens JLP, no valor de 155,6 milhões de dólares; e ainda vários ativos como USDC, SOL, cbBTC, wBTC, entre outros. Este incidente tornou-se um dos segundo maiores ataques da história de Solana e um dos de maior escala no setor DeFi.

Mais tarde, a equipa oficial do Drift Protocol publicou uma mensagem na plataforma social para confirmar: “O Drift Protocol está a ser alvo de um ataque. As funcionalidades de depósitos e levantamentos foram suspensas. Estamos a colaborar com várias instituições de segurança, pontes cross-chain e bolsas para controlar a situação com total esforço. Isto não é uma brincadeira de 1.º de abril. Mais informações serão publicadas em tempo real através desta conta.”

Este ataque começou na madrugada de 2 de abril. A plataforma de monitorização on-chain PeckShield emitiu um alerta: o endereço do cofre principal do Drift começou a fazer transferências em grande escala para uma nova carteira criada, HkGz4K. Os primeiros ativos transferidos foram sobretudo os tokens JLP (Jito Liquidity Provider), no valor de cerca de 155 milhões de dólares; depois vieram USDC, SOL, cbBTC, wBTC, WETH e ainda alguns memecoins. Os dados da PeckShield mostram que, num curto espaço de tempo, a saída acumulada de ativos atingiu 285 milhões de dólares.

Segundo a monitorização de Yu Jin, os ativos de 285 milhões de dólares roubados pelo Drift já foram convertidos em 129k ETH (278 milhões de dólares). Nas últimas horas, o hacker, por diversas vias, vendeu esses ativos e efetuou cross-chain para a cadeia Ethereum; em seguida, na cadeia Ethereum, comprou ETH com esses fundos. Neste momento, os ativos de 285 milhões de dólares roubados na Solana já foram comprados na cadeia Ethereum para 129.066 ETH.

Além disso, a equipa de segurança SlowMist publicou nas redes sociais que, no momento, os fundos roubados já se encontram essencialmente concentrados nos seguintes endereços Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, totalizando: 105.969 ETH (cerca de 226 milhões de dólares).

Conjunto de endereços do hacker:

II. Interpretação do ataque ao Drift Protocol: “roubo sob proteção” por parte da própria equipa?

Este ataque foi uma combinação cuidadosamente planeada de invasão de permissões + manipulação de preços. O núcleo do ataque consistiu em o hacker ter roubado as permissões de administrador e, através da falsificação de tokens e da manipulação de oráculos, ultrapassado instantaneamente os limites de fundos, saqueando o cofre do protocolo. O hacker, ao obter a chave privada de administrador, desativou o controlo de risco central do protocolo (limite de levantamentos); depois, utilizou garantias falsas para efetuar retiradas em massa do pool de fundos e concluiu a lavagem através de transferências cross-chain.

Relativamente ao incidente em que os ativos foram roubados após o ataque ao Drift Protocol, o fundador da SlowMist, Yu Xian, analisou e apontou que uma semana antes do ataque, o Drift ajustou o mecanismo de multisig para “2/5” (1 subscritor antigo + 4 novos subscritores) e não configurou time lock (timelock). Em seguida, o atacante obteve as permissões de administrador, falsificou tokens CVT, manipulou o oráculo, desligou os mecanismos de segurança e transferiu ativos de elevado valor a partir do pool de fundos.

O cofundador da Chaos Labs, Omer Goldberg, também publicou nas redes sociais que, uma semana antes, o Drift migrou para uma nova carteira de múltiplas assinaturas. Essa carteira foi criada por um dos subscritores na carteira multisig anterior. Contudo, este subscritor não se adicionou à nova lista de subscritores multisig. O atacante, em paralelo, propôs no multisig antigo a transferência das permissões de administrador para essa nova carteira. O novo multisig tem 5 subscritores no total: apenas 1 é proveniente da equipa original; os restantes 4 são endereços totalmente novos. A carteira está configurada com um limiar de multisig 2/5 e não tem qualquer time lock (atraso de 0 segundos). Na madrugada de 2 de abril, o único subscritor original propôs, via a nova multisig, a alteração das permissões de administrador do Drift. Um novo subscritor coassinou em 1 segundo, satisfazendo instantaneamente o limiar 2/5. Como não havia time lock, a transação foi executada imediatamente.

Além disso, na comunidade corre a ideia de que um dos membros principais da equipa Drift terá deixado o cargo há um mês. No entanto, não se trata de um facto confirmado oficialmente; faltam provas para o sustentar. Atualmente, é apenas especulação/rumor na comunidade do X (Twitter), sem nomes específicos, e nem meios de comunicação mainstream nem o próprio Drift confirmaram. Nas notícias mais divulgadas e nas declarações oficiais do Drift, não é mencionado de forma alguma que qualquer membro da equipa tenha deixado o cargo um mês antes.

Ainda assim, a possibilidade de “roubo sob proteção” é, de facto, a direção com maior discussão no círculo atual e com mais dúvidas—até mais lógica do que “invasão de um hacker externo”. Antes, a equipa oficial ajustou o mecanismo de multisig, tornando a estrutura de permissões “demasiado conveniente para ataques”, algo que não parece um incidente acidental. O método do ataque “demonstrava demasiado conhecimento da lógica interna”, o que não parece o estilo de um hacker externo. E a forma como a equipa oficial reagiu ao roubo de uma soma tão avultada foi anormalmente calma. Depois do roubo, o fluxo de fundos foi muito limpo e claro: foi rapidamente convertido em ETH e efetuadas operações cross-chain; além disso, não houve entradas em bolsas centralizadas suscetíveis de serem congeladas. Todo este processo e lógica de operação do incidente levou a que, na comunidade, as suspeitas sobre o “roubo sob proteção” por parte do Drift oficial se intensificassem.

III. Partes relacionadas e reações da comunidade cripto

Após a ocorrência do incidente de roubo de ativos do Drift Protocol, diferentes partes envolvidas e a comunidade cripto reagiram de formas variadas:

• No incidente de roubo do protocolo DeFi Drift, as perdas de posição de JLP ascendem aproximadamente a 155,6 milhões de dólares. A este respeito, a Jupiter (oficial) afirmou que a plataforma não foi afetada por este incidente. O seu produto de empréstimos, Jupiter Lend, não envolveu o mercado Drift, e os ativos JLP “são suportados integralmente por ativos subjacentes”. A Jupiter também afirmou que este incidente foi “um dia difícil” para o ecossistema Solana DeFi e manifestou a sua preocupação ao time do Drift e aos utilizadores afetados.

• A Unitas Protocol, um protocolo gerador de rendimento, publicou no X que não foi afetada pelo incidente de ataque ao Drift Protocol. A Unitas não tem qualquer exposição no Drift. Todo o colateral está seguro e todas as estratégias (incluindo a estratégia JLP Delta Neutra) estão a funcionar normalmente. Os fundos dos utilizadores estão seguros. O colateral pode ser verificado em tempo real através dos painéis de provas de reserva da Accountable e da Primus Labs.

• A Meteora, protocolo de liquidez da Solana, publicou no X que todos os fundos na Meteora estão seguros, e que todas as funcionalidades e o cofre da plataforma não interagem com o protocolo Drift.

• Anna, fundadora da infraestrutura de stablecoins Perena, publicou no X que o seu Perena USD*, USD*-J e USD*-P não foram afetados pelo incidente do ataque ao Drift. Contudo, o cofre de JLP gerido pela plataforma de partilha de estratégias de quantificação do Neutral Trade, administrada no ecossistema Solana, foi afetado por estar a correr no Drift Protocol. A equipa está a manter contacto com os parceiros e continuará a atualizar o progresso.

• Utilizador da plataforma X @hzkj99: O protocolo de ativos do ecossistema SOL Drift Protocol foi roubado, com perdas na casa das centenas de milhões. Sempre que está envolvido dinheiro, a segurança é a primeira prioridade; especialmente num mercado em baixa, também haverá definitivamente novos protocolos que serão roubados. Este mundo é mesmo uma enorme “operação improvisada”; alguns protocolos até podem ser roubados várias vezes, e o Drift também não é o último a ser roubado.

• Utilizador da plataforma X @lanhubiji: O Drift Protocol sofreu uma exploração grave de vulnerabilidades, com perdas na ordem dos 270 milhões de dólares, sendo um dos maiores incidentes de ataque DeFi até à data de 2026. Alguns posts, de forma séria, dizem: “A Fundação Solana está a coordenar a reversão com os servidores da cave do Toly (cofundador)”. Embora seja uma piada, esta forma de dizer vai um pouco longe.

• Utilizador da plataforma X @EnHeng456: Guardar dinheiro num mercado em baixa é mesmo preciso ter cuidado, cuidado, e mais cuidado. O ambiente tem-se tornado cada vez mais inseguro; há notícias de roubos por todo o lado. Alguns protocolos antigos também têm problemas especificamente em mercados em baixa; é difícil até distinguir se é ataque de hacker ou roubo sob proteção. Recentemente, eu também sou mais conservador: ponho tudo de forma honesta no USD1 e não me atrevo a guardar em todo o lado. Nestas condições de mercado, quanto mais mexes, mais fácil é dar problema. Às vezes, não fazer nada é a melhor opção: o Drift foi roubado em dois mil milhões de dólares e foi parar mesmo no bolso do general.

IV. Impacto do incidente de roubo do Drift Protocol

O incidente de roubo de 285 milhões de dólares do Drift Protocol é o segundo maior ataque DeFi na história do ecossistema Solana. O seu impacto vai muito além do próprio protocolo, abalando severamente a confiança no ecossistema Solana e acelerando as mudanças de segurança no DeFi.

Este ataque expôs falhas fatais dos projetos DeFi na gestão de permissões multisig e na segurança dos oráculos. Permissões são o cofre; assim que a chave do administrador cai nas mãos erradas, e na ausência de mecanismos de travagem de emergência como time locks, qualquer lógica complexa de código pode deixar de funcionar instantaneamente. Para o Drift Protocol, a menos que consigam recuperar o grande montante ou que apareça um “grande” para assumir a posição, o caminho será a liquidação, a falência e os litígios. Para Solana e o seu ecossistema, há um forte abalo na reputação, com saída de fundos no curto prazo e desaceleração do crescimento; no longo prazo, isso força uma atualização de segurança. E para toda a indústria DeFi, pode dizer-se que é um marco divisório do setor: “a segurança das permissões é maior do que a segurança do código” torna-se uma regra incontornável; os custos de confiança sobem drasticamente; e o DeFi vai entrar numa nova fase de maior conformidade, maior transparência e maior centralização (governação de segurança).