O Maior Hack DeFi de 2026: US$ 285 Milhões Drenados em 12 Minutos
Em 1º de abril de 2026 — e não, não foi piada de primeiro de abril — o Drift Protocol, uma das maiores plataformas de trading descentralizado na Solana, foi hackeado em US$ 285 milhões. O ataque eliminou mais da metade do valor total travado (TVL) do protocolo e se tornou o maior exploit DeFi do ano.
A análise da Elliptic, empresa líder em forense blockchain, identificou "múltiplos indicadores" de que o ataque foi conduzido por hackers patrocinados pelo governo da Coreia do Norte, possivelmente o infame Lazarus Group. Se confirmado, este seria o 18º ataque ligado à Coreia do Norte rastreado pela Elliptic em 2026, com mais de US$ 300 milhões roubados só neste ano.
Como o Ataque Aconteceu: Uma Operação Cirúrgica
O hack do Drift não foi um exploit oportunista de um bug em smart contract. Foi uma operação meticulosamente planejada ao longo de uma semana, combinando engenharia social, manipulação de oráculos e execução coordenada em alta velocidade.
Fase 1 — Preparação (23 a 30 de março)
Entre 23 e 30 de março, os atacantes configuraram durable nonce accounts na Solana — contas especiais que permitem pré-assinar transações sem executá-las imediatamente. Simultaneamente, obtiveram 2 das 5 aprovações necessárias do multisig do Security Council do Drift, atingindo o threshold mínimo para autorizar operações administrativas.
Como conseguiram as chaves? Através de engenharia social contra membros do Security Council. Os detalhes exatos do comprometimento não foram divulgados, mas o padrão é consistente com ataques de phishing direcionado (spear phishing) que o Lazarus Group é conhecido por executar.
Fase 2 — O Token Falso (CarbonVote Token)
Os hackers criaram um token falso chamado CarbonVote Token (CVT), injetaram US$ 500 em liquidez e realizaram wash trading (transações consigo mesmos) para enganar os oráculos de preço da Solana, fazendo-os tratar o CVT como um ativo legítimo com volume real.
Com as chaves administrativas comprometidas, listaram o CVT como um novo mercado spot na plataforma Drift e, crucialmente, aumentaram os limites de saque para 500 trilhões em USDC e quatro outros ativos. Esse único movimento anulou todas as proteções de segurança internas do protocolo.
Fase 3 — A Drenagem (1º de abril, 12 minutos)
Em 1º de abril, o atacante executou primeiro uma transação legítima para não levantar suspeitas. Imediatamente depois, disparou as transações maliciosas pré-assinadas. Em 31 transações ao longo de apenas 12 minutos, drenou:
- 66,4 milhões USDC
- 42,7 milhões JLP
- 23,3 milhões MOODENG
- 5,6 milhões USDT
- 5,2 milhões USDS
- 2,6 milhões JUP
- 583 mil RAY
- 477 mil WETH
O uso de chaves de assinatura diferentes nas 31 transações indica que os hackers tinham acesso a múltiplas chaves autorizadas, não apenas uma. Isso sugere comprometimento profundo da infraestrutura de gerenciamento de chaves do protocolo.
A Conexão Norte-Coreana
A Elliptic apontou que o comportamento on-chain do ataque — pré-meditado, cuidadosamente encenado e com fluxo de lavagem cross-chain estruturado — é consistente com ataques anteriores do Lazarus Group. Charles Guillemet, CTO da Ledger, comparou diretamente o hack do Drift ao roubo de US$ 1,4 bilhão da Bybit em 2025, que o FBI atribuiu à Coreia do Norte.
Se confirmado, o Drift seria mais um capítulo na campanha sistemática de roubo de criptomoedas pela Coreia do Norte para financiar seu programa nuclear e de mísseis balísticos. Estima-se que o país tenha roubado mais de US$ 6 bilhões em crypto desde 2017.
O Impacto no Mercado
As repercussões foram imediatas:
- SOL caiu 9%, atingindo mínima intradiária de US$ 78,60, reduzindo a capitalização da Solana para US$ 45,5 bilhões
- Token DRIFT despencou de US$ 0,072 para US$ 0,055 — já acumulava queda de 86% no ano anterior
- O protocolo suspendeu depósitos e saques imediatamente após a detecção
- A Wormhole alertou que transferências cross-chain na Solana poderiam sofrer atrasos
A Solana Foundation se posicionou rapidamente. Lily Liu e Vibhu Norby confirmaram publicamente que o hack "não foi causado por vulnerabilidade em programa ou smart contract" — foi uma falha humana de segurança operacional, não uma falha técnica da blockchain.
A Questão USDC: Circle Vai Congelar?
Uma porção significativa dos fundos roubados foi convertida em USDC, levantando a questão inevitável: a Circle vai congelar os endereços? A empresa já congelou endereços sancionados no passado, incluindo após o hack da Ronin Bridge (Axie Infinity) em 2022.
Os fundos restantes foram distribuídos em múltiplas carteiras, com conversão parcial para SOL. O atacante está em uma corrida contra o tempo para lavar os fundos antes que sejam rastreados e potencialmente congelados.
O Que Isso Ensina Sobre Segurança DeFi
O hack do Drift expõe uma verdade desconfortável: a segurança DeFi é tão forte quanto o elo humano mais fraco. Não importa quão auditado seja o código se as chaves administrativas podem ser comprometidas por engenharia social.
Pontos críticos que o caso revela:
- Multisig 2/5 é insuficiente para controlar centenas de milhões de dólares. Um threshold de 3/5 ou 4/7 teria impedido o ataque
- Durable nonce accounts podem ser usadas como arma — transações pré-assinadas ficam dormentes até o momento ideal do ataque
- Oráculos de preço continuam vulneráveis a manipulação com volumes artificiais
- Engenharia social é o vetor de ataque mais eficaz contra DeFi — mais que bugs de código
- Timelocks em operações administrativas (24-48h de delay) teriam dado tempo para detectar e cancelar as transações maliciosas
Aviso: Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.