#DriftProtocolHacked

O Drift Protocol, uma das maiores exchanges descentralizadas de perpétuos e spot construídas na blockchain Solana, foi alvo de uma das explorações mais devastadoras da história da DeFi em 1 de abril de 2026. A equipa confirmou que o incidente foi, nas suas próprias palavras, "não uma brincadeira de 1 de abril". Quando a poeira começou a assentar, as estimativas apontaram perdas totais entre $200 milhões e $285 milhões, tornando-se no maior hack de criptomoedas de 2026 até ao momento, e no ataque mais prejudicial à DeFi baseada em Solana desde à exploração do Wormhole bridge em 2022.

O primeiro sinal de problemas surgiu por volta das 18:10 GMT, quando a equipa do Drift alertou para uma atividade incomum na cadeia e avisou os utilizadores para não depositarem fundos. Menos de uma hora depois, aproximadamente às 18:58 GMT, a equipa confirmou que um ataque ativo estava em curso, suspendeu imediatamente todos os depósitos e retiradas em toda a plataforma, e começou a coordenar uma resposta de emergência com empresas de segurança blockchain, bridges e exchanges centralizadas na tentativa de congelar ou rastrear os ativos roubados.

A mecânica do ataque foi sofisticada, multietapa e cuidadosamente premeditada. Investigadores na cadeia revelaram que o atacante tinha testado a exploração pelo menos oito dias antes do ataque real, sugerindo uma janela longa de preparação e reconhecimento. O núcleo do ataque girou em torno de um conjunto comprometido de Drift admin keys, que são as chaves de administração do Drift. Se estas chaves privadas foram vazadas ou se resultaram de um compromisso de Multisig envolvendo múltiplos signatários, permanece sob investigação, mas o resultado foi o mesmo: o atacante obteve controlo administrativo sobre parâmetros críticos do protocolo.

Com acesso administrativo em mãos, o atacante executou a seguinte sequência. Primeiro, criou um token fraudulento chamado CarbonVote Token, abreviado CVT, e estabeleceu um pool de liquidez falso para ele na Raydium. Através de wash trading, inflacionou artificialmente o preço aparente do CVT para que o oráculo do protocolo o registasse como um ativo legítimo de alto valor. Segundo, usando os privilégios de administrador comprometidos, listou o CVT como uma forma aceita de colateral no mercado spot do Drift. Também usou esses direitos administrativos para desativar as proteções de retirada do protocolo e aumentar o limite de empréstimo em USDC, de um limite padrão de $25 milhões até $500 milhões. Terceiro, munido de uma quantidade massiva de colateral falso de CVT que o protocolo agora reconhecia como genuíno, depositou-o e procedeu a emprestar e drenar ativos reais do principal pool de empréstimos e cofres do Drift, incluindo os BTC Super Staking vaults, o SOL Super Staking vault, e outros. Isto foi feito através de aproximadamente 31 transações na cadeia usando funções do protocolo, incluindo initializeSpotMarket e updateSpotMarketStatus. A operação de drenagem levou cerca de 12 minutos desde o início até à conclusão.

Os cofres afetados incluíram o cofre JLP Delta Neutral, o cofre SOL Super Staking, o cofre BTC Super Staking, entre outros. A divisão dos ativos roubados incluiu aproximadamente 155,6 milhões de dólares em tokens JLP, 60,4 milhões de dólares em USDC, e quantidades adicionais em SOL, JitoSOL, cbBTC, e WETH. As perdas totais representaram cerca de 50 por cento do TVL do Drift, que era de aproximadamente $540 milhões antes do ataque.

O atacante não ficou parado após drenar os cofres. Os fundos foram rapidamente trocados através do Jupiter, o agregador de liquidez líder na Solana. Uma parte foi encaminhada através de uma carteira Backpack que pode conter registos KYC, o que os investigadores consideraram uma possível pista. Os ativos foram então bridged de Solana para Ethereum, convertidos em ETH, e lavados através de plataformas como Hyperliquid e Monero. Segundo os relatórios mais recentes na cadeia, o atacante detinha aproximadamente 19.913 ETH avaliados em cerca de $42 milhões, com mais de $82 milhões já considerados lavados na altura de escrita.

A reação do mercado foi imediata e severa. O token DRIFT caiu entre 25 e 50 por cento em horas após a divulgação da notícia. O TVL do Drift, que tinha atingido aproximadamente 311,93 milhões de dólares na DeFiLlama na altura do incidente, colapsou. Vários outros protocolos com exposição ao Drift, incluindo Ranger Finance, Reflect Money, Elemental DeFi e Project0, pausaram as suas operações como medida de precaução devido ao risco interligado. O incidente colocou temporariamente o Drift Protocol como o token mais trending no CoinGecko, enquanto traders e investigadores se apressaram a avaliar a sua exposição.

Até 2 de abril de 2026, a equipa do Drift ainda não publicou um relatório oficial ou confirmou um valor exato de perdas. Empresas de segurança forneceram estimativas variadas: a CertiK estimou cerca de $136 milhões, enquanto a Arkham Intelligence rastreou mais próximo de $285 milhões em ativos roubados. A discrepância provavelmente reflete diferentes metodologias de contagem de ativos na altura do roubo versus valores após liquidação.

Para quem teve alguma interação com o Drift Protocol, a prioridade imediata é revogar todas as aprovações e permissões de tokens associadas ao protocolo. Os utilizadores devem verificar as aprovações nas suas carteiras usando o scanner Jup Portfolio ou ferramentas equivalentes. Quem detinha ativos nos cofres afetados deve documentar as suas posições e monitorizar as comunicações oficiais do Drift para qualquer plano de recuperação ou compensação.

Este evento é um lembrete claro do risco sistémico que a exposição às Drift admin keys, Multisig, e às BTC Super Staking vaults, bem como a vulnerabilidade do Wormhole bridge exploit, introduz nos protocolos DeFi. Mesmo plataformas altamente auditadas e testadas enfrentam um vetor de centralização quando privilégios administrativos existem sem controlos de tempo multi-partidos adequados. O exploit do Drift não foi um bug de contrato inteligente no sentido tradicional. Foi uma falha de controlo de acesso que permitiu a um atacante reescrever unilateralmente as regras do protocolo durante a sessão. Até que o relatório completo seja divulgado e a cadeia de custódia das chaves comprometidas seja estabelecida, a imagem completa permanece incompleta.

A situação ainda está a evoluir. A recuperação é incerta.