Hack do Drift Protocol: US$ 285 Milhões Roubados em 12 Minutos — O Que Aconteceu e As Lições Para Quem Usa DeFi
Alerta de SegurançaDeFi
Publicado em 8 de Abril de 2026 · Tempo de leitura: 11 min
Em 1 de abril de 2026, a Drift Protocol — a maior exchange descentralizada de futuros perpétuos na Solana — perdeu US$ 285 milhões em 12 minutos. Atacantes atribuídos ao Lazarus Group (Coreia do Norte) usaram um token falso, manipulação de oráculos e engenharia social para drenar mais da metade do TVL do protocolo. Não foi uma piada de 1º de abril. Foi o maior hack DeFi de 2026. Neste artigo, explicamos o que aconteceu, como o ataque funcionou, quais protocolos foram afetados, por que hardware wallets não protegem fundos em protocolos — e as lições essenciais para quem investe em DeFi.
1. O Que Aconteceu
A Drift Protocol era a maior exchange descentralizada de futuros perpétuos na Solana, com mais de US$ 550 milhões em TVL (Total Value Locked). Permitia trading alavancado, staking de SOL, estratégias delta-neutras e vaults de rendimento — tudo on-chain, sem intermediário centralizado.
Em 1 de abril de 2026, atacantes executaram um exploit que drenou ~US$ 285 milhões dos vaults principais do protocolo — JLP Delta Neutral, SOL Super Staking e BTC Super Staking — em aproximadamente 12 minutos.
O ataque não explorou um bug de código. Foi uma operação de inteligência que combinou engenharia social, token falso, manipulação de oráculos e uma funcionalidade legítima da Solana (durable nonces) para contornar todas as proteções do protocolo.
2. Timeline do Ataque
11 de Março de 2026 (~3 semanas antes)
Atacante saca 10 ETH do Tornado Cash (Ethereum) e começa a financiar a infraestrutura do ataque. Horários on-chain coincidem com horário de trabalho em Pyongyang.
12 de Março
Atacante cria o token falso CarbonVote (CVT) e injeta liquidez mínima (~US$ 500). Inicia wash trading para inflar artificialmente o preço do token nos agregadores de preço.
Semanas seguintes
Engenharia social sobre signatários do multisig da Drift. O Security Council é migrado para configuração 2/5 sem timelock — removendo a última linha de defesa.
~24 de Março
Atacante obtém pré-assinaturas dos signatários do multisig usando durable nonces da Solana — transações assinadas que ficam “dormentes” até serem executadas.
1 de Abril — 13:30 UTC
Analistas on-chain (Lookonchain, PeckShield) detectam movimentações suspeitas. Mais de US$ 250 milhões saem dos vaults da Drift para um wallet desconhecido.
1 de Abril — ~14:00 UTC
Drift publica no X: “Estamos observando atividade incomum. Não depositem fundos. Isto não é uma piada de 1º de abril.“
Horas seguintes
Atacante converte tokens roubados em USDC via Jupiter (Solana), faz bridge para Ethereum via CCTP da Circle, e troca por ETH. Parte dos fundos passa por exchanges centralizadas.
2-5 de Abril
Drift confirma o exploit, suspende operações. Elliptic e TRM Labs atribuem o ataque a hackers norte-coreanos. Mais de 20 protocolos Solana com exposição à Drift são afetados.
3. Como o Ataque Funcionou
O exploit combinou três vetores de ataque encadeados — nenhum deles era um bug de código:
Vetor 1: Token falso + manipulação de oráculos
O atacante criou o token CarbonVote (CVT) com custo mínimo (~US$ 500) e usou wash trading para inflar seu preço nos agregadores. Os oráculos de preço da Drift trataram o CVT como colateral legítimo valendo centenas de milhões.
Vetor 2: Engenharia social do multisig
Os signatários do Security Council da Drift foram alvos de engenharia social sofisticada. O atacante conseguiu que pré-assinassem transações administrativas usando durable nonces — uma funcionalidade legítima da Solana que permite assinar transações “para execução futura”. As assinaturas ficaram dormentes até 1 de abril.
Vetor 3: Governança sem timelock
Semanas antes do ataque, o multisig do Security Council foi migrado para configuração 2/5 (apenas 2 de 5 assinaturas necessárias) sem timelock. Isso significava que as transações administrativas podiam ser executadas instantaneamente, sem período de espera que permitisse detecção pela comunidade.
⚠️ A lição técnica: O ataque não explorou uma vulnerabilidade de código. Explorou confiança: confiança nos oráculos de preço, confiança nos signatários do multisig, e a ausência de timelocks na governança. Auditorias de código (Trail of Bits, ClawSecure) não detectaram esses vetores porque eles não são bugs — são falhas de arquitetura de governança.
4. Impacto: TVL, Token e Contágio
📉 TVL da Drift: caiu de ~US$ 550 milhões para menos de US$ 250 milhões em menos de 1 hora
📉 Token DRIFT: queda de 37-42%, atingindo mínima de ~US$ 0,04-0,05
🔗 Contágio: mais de 20 protocolos Solana com exposição à Drift foram afetados — vários pausaram operações, depósitos ou saques
⚖️ Ação legal: escritório de advocacia Gibbs Mura abriu investigação para class action em nome de investidores da Drift, incluindo possível ação contra a Circle por não congelar o USDC durante o bridge
5. Quem Está Por Trás: Lazarus Group
As firmas de inteligência blockchain Elliptic e TRM Labs atribuíram o ataque a hackers norte-coreanos vinculados ao estado, citando:
🔗 Origem dos fundos via Tornado Cash — padrão consistente com operações anteriores do Lazarus Group
⏰ Horários de atividade on-chain consistentes com horário de trabalho em Pyongyang
🎭 Engenharia social sofisticada — a mesma técnica usada no hack da Radiant Capital (outubro 2024, US$ 50M)
💨 Velocidade de lavagem agressiva — centenas de transações de bridge movendo milhões em USDC, superando até a velocidade de lavagem do hack Bybit (2025)
O governo dos EUA vincula essas operações ao financiamento do programa de armas nucleares da Coreia do Norte. A Elliptic rastreou mais de US$ 300 milhões roubados só no primeiro trimestre de 2026.
6. Hardware Wallet Protege? Depende
Esta é a distinção mais importante que todo investidor DeFi precisa entender:
Cenário
Hardware wallet protege?
Por quê
Fundos na sua wallet (autocustódia)
Sim
Chaves privadas offline, no Secure Element. Atacante não acessa sem o dispositivo físico
Fundos depositados em protocolo DeFi (vault, pool, staking)
Não
Fundos estão sob custódia do smart contract. Se o protocolo é hackeado, os fundos são drenados — sua wallet não pode impedir
Assinatura de transação maliciosa
Parcial
Com Clear Signing, você vê o que está aprovando na tela do dispositivo. Mas se o protocolo em si for comprometido depois, a transação original era legítima
Hardware wallet é a melhor proteção para fundos em autocustódia. Mas fundos depositados em protocolos DeFi carregam risco de smart contract — um risco que nenhuma wallet pode eliminar. A melhor defesa é: manter o mínimo necessário em protocolos e o máximo em autocustódia.
7. Lições Para Investir em DeFi Com Segurança
🏦 Mantenha a maioria em autocustódia — deposite em protocolos DeFi apenas o necessário para a estratégia ativa. O restante fica na sua hardware wallet (Trezor Safe 7, Ledger Flex, SecuX V20)
🔍 Avalie governança, não só código — auditorias de código são necessárias, mas não suficientes. Verifique: o multisig tem timelock? Quantas assinaturas são necessárias? A governança é transparente? O caso Drift mostra que governança fraca é tão perigosa quanto código vulnerável
⏰ Timelocks são essenciais — protocolos sérios implementam períodos de espera (24-72h) para alterações administrativas. Se um protocolo permite mudanças instantâneas no multisig, o risco é elevado
📊 Diversifique entre protocolos — nunca concentre todos os seus fundos DeFi em um único protocolo. O contágio da Drift afetou mais de 20 protocolos que tinham exposição
📺 Use Clear Signing sempre — ao interagir com DApps, verifique na tela da hardware wallet exatamente o que está aprovando: endereço do contrato, valor, tipo de operação
🔑 Proteja logins com passkeys/FIDO2 — se você opera via exchanges centralizadas, proteja o login com YubiKey ou PUFido — imunes a phishing e engenharia social
📚 Eduque-se antes de investir — entenda como funcionam oráculos, multisigs, timelocks, vaults e riscos de smart contract. O Curso DeFi da KriptoBR cobre esses fundamentos
8. Perguntas Frequentes
O que aconteceu com a Drift Protocol?
Atacantes drenaram US$ 285 milhões em 12 minutos em 1 de abril de 2026. Usaram token falso (CarbonVote), manipulação de oráculos, engenharia social sobre signatários do multisig e durable nonces da Solana. Foi o maior hack DeFi de 2026.
Quem foi responsável?
As firmas Elliptic e TRM Labs atribuem o ataque a hackers norte-coreanos vinculados ao Lazarus Group — o mesmo grupo responsável pelo hack da Ronin Bridge (US$ 625M, 2022) e Bybit (US$ 1,5B, 2025).
Hardware wallet teria protegido meus fundos na Drift?
Não para fundos depositados nos vaults. Hardware wallet protege chaves que você controla (autocustódia). Fundos depositados em smart contracts de protocolos DeFi estão sob custódia do protocolo — se ele é hackeado, os fundos são perdidos independente da sua wallet. A lição: mantenha o mínimo em protocolos e o máximo em autocustódia.
Os fundos foram recuperados?
Até abril de 2026, os fundos não foram recuperados. A Drift suspendeu operações e está em investigação. Parte dos fundos foi movida para Ethereum via CCTP e convertida em ETH. A Circle (USDC) não congelou os fundos durante o bridge, gerando controvérsia e investigação legal.
Onde aprender a investir em DeFi com segurança?
O Curso DeFi da KriptoBR cobre os fundamentos: protocolos, smart contracts, riscos, oráculos, governança e como interagir com DApps usando hardware wallet de forma segura. O Curso Bitcoin é recomendado para quem está começando.
Navegue DeFi com Conhecimento e Segurança
Entenda riscos, proteja seus ativos em autocustódia e invista com confiança. Cursos e ferramentas na KriptoBR.
Tutorial Yubico Publicado em 9 de Abril de 2026 · Tempo de leitura: 10 min Comprou uma YubiKey e quer configurar? Este é o guia prático. Sem teoria — vamos
Educacional Segurança Publicado em 9 de Abril de 2026 · Tempo de leitura: 11 min Sua identidade digital está espalhada por centenas de servidores que você não controla. Cada login,
Adicione uma camiseta no carrinho para liberar o desconto. Depois aplique o cupom CAMISETAGRÁTIS no checkout. Ganhe até R$ 79,90 OFF em compras acima de R$ 799.
