#DriftProtocolHacked

#DriftProtocolHacked

A $285 Mega Roubo Que Levou 10 Segundos a Executar e Oito Dias a Planejar

O token DRIFT está a ser negociado a $0,0407 neste momento. Uma queda de 27,88% nas últimas 24 horas. Uma diminuição de 40,35% na última semana. Uma redução de 75,57% nos últimos 90 dias. SOL está a $81,38, mantendo um modesto rebound diário de 2,37% que significa muito pouco no contexto do que aconteceu a 1 de abril de 2026. Porque nesse dia, o Drift Protocol — uma das trocas descentralizadas de derivados mais proeminentes na Solana, uma plataforma que processa biliões em volume de negociação e detém centenas de milhões em depósitos de utilizadores — foi drenado de entre $270 e $285 milhões em menos de 10 segundos. Não por um ataque de força bruta. Não por uma vulnerabilidade de código no sentido tradicional. Mas por uma das explorações mais meticulosamente premeditadas da história do DeFi: um assalto que começou oito dias antes de um único dólar ser roubado, explorou uma funcionalidade legítima da Solana de uma forma que os seus criadores nunca anteciparam, e foi executado com precisão militar por um que a Elliptic, uma firma de segurança blockchain, avaliou como sendo provavelmente um ator de ameaça norte-coreano. Esta é a história completa do que aconteceu, como funcionou, o que significa para o DeFi na Solana, e o que cada pessoa que participa em protocolos on-chain precisa entender antes de colocar outro dólar num contrato inteligente que não compreende totalmente.

O ataque representa mais de 50% do valor total bloqueado do Drift Protocol na altura da exploração. Classifica-se como a segunda maior exploração na história inteira da Solana. Quando a equipa do Drift confirmou publicamente a violação e suspendeu depósitos e retiradas, os fundos — tokens JLP, USDC, Bitcoin embrulhado, e SOL nativo — já tinham sido drenados de cinco cofres diferentes. Os ativos roubados começaram a mover-se através de múltiplas carteiras quase imediatamente, com $232 milhões em USDC transferidos através do protocolo cross-chain da Circle, apesar de apelos públicos para congelar os fundos. O restante foi encaminhado através do Wormhole e Tornado Cash numa sequência de lavagem de dinheiro que refletiu o mesmo nível de planeamento e coordenação que caracterizou o próprio ataque. Isto não foi alguém a tropeçar num bug às 2 da manhã. Foi uma operação com infraestrutura, reconhecimento, carteiras de fallback preparadas, e uma pipeline de lavagem pronta a executar no momento em que as portas do cofre se abrissem.

Para entender como funcionou o ataque, é preciso compreender os nonces duráveis — a funcionalidade específica da Solana que tornou toda a exploração possível. Na maioria das blockchains, uma transação inclui uma referência a um hash de bloco recente, o que significa que a transação expira se não for submetida rapidamente, normalmente dentro de alguns minutos. A Solana introduziu os nonces duráveis como uma funcionalidade de conveniência para situações em que uma transação precisa de ser pré-assinada e mantida para submissão posterior — por exemplo, quando uma carteira de hardware está offline, ou quando processos institucionais requerem aprovação humana antes da execução, mas a submissão real acontece mais tarde. Uma transação com nonce durável não expira. Uma vez assinada, permanece válida indefinidamente, aguardando ser submetida a qualquer momento futuro. Esta é uma funcionalidade legítima e útil. É também, como demonstrou a exploração do Drift de forma mais cara possível, uma funcionalidade que muda fundamentalmente o modelo de segurança de qualquer sistema de governança multisig que não a leve em conta.

Aqui está exatamente o que o atacante fez, reconstruído a partir da análise forense do CoinDesk e das próprias declarações do Drift. Cerca de 20 dias antes do ataque, o atacante criou o CVT — um token completamente inútil que ele mesmo criou, sem valor de mercado, sem utilidade, e sem qualquer integração protocolar existente. O token não foi listado em lado nenhum. Existia apenas como um componente na infraestrutura do ataque. Oito dias antes do hack, o atacante configurou uma infraestrutura de suporte nova — novas carteiras, novos pipelines de transação — e começou a preparar um conjunto de transações com nonce durável que, uma vez assinadas pelas partes certas, lhe dariam controlo administrativo sobre o protocolo do Drift. A genialidade da abordagem do nonce durável é que o atacante precisava de convencer apenas dois dos cinco membros do Conselho de Segurança do Drift a assinarem o que pareciam ser transações administrativas rotineiras. Os signatários revisaram o que acreditavam serem ações de governança padrão. Assinaram. As suas assinaturas eram válidas — aprovações legítimas, criptograficamente corretas, de membros autorizados do conselho de segurança. Mas, porque essas assinaturas estavam incorporadas em transações com nonce durável, o atacante agora tinha autorizações pré-assinadas que permaneceriam válidas para sempre, esperando serem usadas no momento que ele escolhesse, num contexto completamente diferente daquele em que as assinaturas foram obtidas.

Vinte e cinco segundos antes de os fundos serem drenados, o atacante submeteu as transações com nonce durável pré-assinadas e obteve controlo administrativo total do protocolo. Nesse mesmo período de 25 segundos, usou esse acesso de administrador para criar um mercado de colateral falso para o CVT — o token inútil que tinha criado há 20 dias — e desativou o limitador de circuito do Drift, o mecanismo de segurança especificamente desenhado para evitar drenagens rápidas e de grande volume de ativos. Com o limitador desativado e um mercado de colateral falso em funcionamento, o atacante então esvaziou sistematicamente cinco cofres diferentes em segundos. A fase de execução completa, desde a tomada de controlo administrativo até à drenagem do cofre, durou aproximadamente 10 segundos. Oito dias de preparação. Dez segundos de execução. $285 milhões desaparecidos.

A implicação forense que a maioria dos relatórios soterraram, mas que merece destaque, é a questão de como dois membros do Conselho de Segurança assinaram transações que não compreenderam. A análise detalhada do CoinDesk coloca-a diretamente: a questão aberta que o próximo relatório detalhado do Drift terá de responder é como dois membros separados do multisig aprovaram transações sem reconhecer o que estavam a aprovar, e se alguma ferramenta ou alteração na interface poderia ter sinalizado que as transações com nonce durável requeriam uma análise adicional. Esta é a falha de governança no centro do exploit. O código funcionou como foi projetado. A criptografia era válida. O ataque teve sucesso porque operadores humanos — membros de um conselho de segurança confiados com autoridade administrativa sobre centenas de milhões em fundos de utilizadores — assinaram documentos que foram posteriormente utilizados num contexto que nunca pretendiam. Isso é um vetor de engenharia social tanto quanto técnico, e é muito mais difícil de corrigir do que uma vulnerabilidade de código, porque requer alterar o comportamento humano, melhorar as interfaces das ferramentas, e construir processos institucionais que possam distinguir entre ações administrativas rotineiras e transações com nonce durável usadas como armas de autorização de execução tardia.

A atribuição à Coreia do Norte, embora não confirmada oficialmente, acrescenta uma camada de gravidade geopolítica que posiciona este ataque dentro de um padrão bem documentado. A Elliptic avaliou que o ataque provavelmente foi atribuído a hackers apoiados pelo Estado norte-coreano, consistente com uma metodologia que a SecurityWeek descreveu como correspondendo à precisão extrema das operações conhecidas do Lazarus Group: configuração de infraestrutura avançada, reconhecimento em múltiplas fases, pipelines de lavagem preparados, e velocidade de execução que sugere automação pré-carregada em vez de operação manual. Hackers norte-coreanos foram avaliados por firmas de segurança blockchain como tendo roubado pelo menos $2 biliões em criptomoedas em 2025, com os fundos roubados a financiar o programa nuclear do regime e a contornar sanções internacionais. Se a atribuição ao Drift se confirmar, o valor de $285 milhões torna-se não só o maior hack de DeFi de 2026, mas uma contribuição significativa para uma operação de financiamento a nível estatal que tem consequências diretas para a segurança internacional. Essa narrativa — utilizadores de crypto DeFi a financiar inadvertidamente o desenvolvimento de programas nucleares — é uma realidade desconfortável com a qual a indústria precisa de lidar mais seriamente do que o discurso habitual de "lições de segurança aprendidas" após um hack.

As consequências no mercado foram imediatas e severas. O token DRIFT atingiu um mínimo histórico nos dias seguintes ao ataque, segundo dados do Stocktwits. O desempenho de 90 dias de -75,57% reflete o efeito composto de um token que já estava sob pressão devido à contração mais ampla do mercado antes do hack, que acrescentou um dano reputacional catastrófico. O impacto no ecossistema Solana foi real, mas contido — SOL caiu 40,33% em 90 dias, refletindo mais a pressão do mercado geral do que uma colapsar específico do Drift. A DeFi Development Corp., uma empresa listada na Nasdaq com uma estratégia de tesouraria na Solana, foi rápida a confirmar publicamente que não tinha qualquer exposição ao exploit do Drift Protocol, sinalizando que o risco de contágio do DeFi estava a ser gerido ativamente a nível institucional. O facto de uma empresa cotada sentir necessidade de emitir essa clarificação horas após o hack diz tudo sobre a seriedade com que o ecossistema institucional da Solana encarou os potenciais efeitos dominó.

As implicações para o modelo de segurança do DeFi vão muito além do Drift. O vetor de nonce durável não é exclusivo do Drift. Qualquer protocolo na Solana que utilize governança multisig sem proteções explícitas contra exploração de nonce durável está potencialmente vulnerável à mesma classe de ataque. E a lição mais ampla — que a segurança multisig é apenas tão forte quanto a compreensão, as ferramentas e os processos dos humanos que a operam — aplica-se a todos os ecossistemas blockchain, não só à Solana. Sistemas de governança multisig do Ethereum, conjuntos de validadores do Cosmos, estruturas de conselho do Polkadot — todos eles têm a mesma dependência fundamental de operadores humanos que revisam e compreendem o que estão a assinar. O exploit do Drift demonstrou que um atacante sofisticado, com paciência suficiente, pode encontrar a lacuna entre o que uma assinatura autoriza no momento em que é dada e o que essa mesma assinatura permite quando submetida semanas depois, num contexto diferente. Fechar essa lacuna requer não só soluções técnicas, mas processos institucionais que tratem cada assinatura de governança como uma autorização de alto risco com consequências a longo prazo — não uma aprovação rotineira para clicar e passar.

Para quem tinha fundos no Drift Protocol, a realidade prática imediata é severa. O protocolo confirmou o ataque, suspendeu operações, e está a trabalhar na recuperação, se é que há alguma. A história sugere que fundos recuperados de exploits DeFi são raros, parciais, e lentos. O uso de Tornado Cash e pontes cross-chain pelo atacante para lavar os fundos em minutos após o ataque demonstra uma estratégia deliberada para dificultar ao máximo a rastreabilidade e recuperação. O protocolo cross-chain da Circle transferiu $232 milhões em USDC apesar de apelos para congelar — um lembrete de que mesmo a infraestrutura de stablecoins mais avançada em conformidade tem limitações quando fundos explorados se movem mais rápido do que o processo de congelamento consegue responder.

#Gate广场四月发帖挑战 #GateSquare