Drift “April Fools” mais de 280 milhões de dólares roubados. Hackers ou auto-roubo?

Shaw, Ganji Finance

Em 2 de abril, o protocolo de negociação de derivados Drift Protocol sofreu um incidente de segurança, e os dados on-chain indicam perdas superiores a 285 milhões de dólares. O projeto afirma ter identificado atividades anómalas e está a investigar, alertando os utilizadores para não depositarem fundos no protocolo e sublinhando que “isto não é uma brincadeira de Dia da Mentira”.

O ataque envolveu múltiplos pools de fundos, incluindo JLP Delta Neutral, SOL Super Staking e BTC Super Staking, entre outros. A transferência de aproximadamente 41,7 milhões de tokens JLP numa única operação foi avaliada em cerca de 155 milhões de dólares; além disso, ativos como SOL, USDC, cbBTC e wBTC também foram retirados.

De acordo com as estatísticas, este evento poderá tornar-se um dos maiores ataques DeFi na comunidade Solana desde o exploit do Wormhole bridge, sendo o maior em escala depois desse.

I. Atualizações mais recentes sobre o incidente de ataque ao Drift Protocol

No dia 1 de abril de 2026 (horário do leste dos EUA), o protocolo descentralizado de derivados da Solana, Drift Protocol, foi alvo de um grande ataque de hackers, com ativos roubados no valor de cerca de 285 milhões de dólares. Os ativos principais roubados incluem: cerca de 41,7 milhões de tokens JLP, no valor de 155,6 milhões de dólares; bem como vários ativos como USDC, SOL, cbBTC e wBTC. Este incidente tornou-se um dos maiores ataques da história da Solana e, ao mesmo tempo, um dos maiores ataques do setor DeFi em termos de escala.

Posteriormente, o Drift Protocol publicou uma mensagem na plataforma social para confirmar: “O Drift Protocol está a ser alvo de um ataque. As funcionalidades de depósito e levantamento foram suspensas. Estamos a trabalhar em conjunto com várias entidades de segurança, pontes cross-chain e bolsas para controlar a situação com todo o empenho. Isto não é uma brincadeira de Dia da Mentira. Mais informações serão publicadas em tempo real através desta conta.”

O ataque começou nas primeiras horas de 2 de abril. A plataforma de monitorização on-chain PeckShield emitiu um alerta: o endereço principal do cofre do Drift começou a efetuar transferências em grande escala para uma carteira recém-criada, HkGz4K. Os primeiros ativos transferidos foram principalmente os tokens JLP (Jito Liquidity Provider), no valor de cerca de 155 milhões de dólares; em seguida vieram USDC, SOL, cbBTC, wBTC, WETH e algumas moedas meme. Os dados da PeckShield indicam que, num curto período, houve uma saída acumulada de ativos no valor de 285 milhões de dólares.

De acordo com a monitorização da Yujin, os ativos de 285 milhões de dólares roubados no Drift já foram convertidos em 129k ETH (278 milhões de dólares). Durante as últimas horas, os hackers venderam esses ativos e fizeram operações cross-chain para a rede Ethereum por vários métodos diferentes e, em seguida, compraram ETH na rede Ethereum. Agora, os ativos de 285 milhões de dólares roubados na Solana já foram convertidos e comprados na rede Ethereum, totalizando 129.066 ETH.

Além disso, a equipa de segurança SlowMist publicou nas redes sociais, afirmando que, atualmente, os fundos roubados já estão basicamente concentrados nos seguintes endereços Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7 e 0xaa843ed65c1f061f111b5289169731351c5e57c1; total: 105.969 ETH (cerca de 226 milhões de dólares).

Cluster de endereços dos hackers:

II. Interpretação do ataque ao Drift Protocol: “roubo com a guarda do próprio” por parte do projeto?

Este ataque foi uma combinação cuidadosamente planeada de intrusão de permissões + manipulação de preço. O núcleo do ataque consistiu em o hacker ter roubado permissões de administrador e, através da falsificação de tokens e da manipulação de oráculos, ter ultrapassado instantaneamente os limites de fundos, saqueando o cofre do protocolo. Ao obter a chave privada de administrador, o hacker desativou o controlo central de risco do protocolo (limite de levantamento) e, em seguida, utilizou garantias falsas para retirar em massa fundos do pool e concluir a lavagem de dinheiro através de transferências cross-chain.

Em resposta ao incidente de roubo causado pelo ataque ao Drift Protocol, o fundador da SlowMist, Yu Xuan, publicou uma análise afirmando que uma semana antes do ataque, o Drift ajustou o mecanismo de multisig para “2/5” (1 signatário antigo + 4 signatários novos) e não configurou um timelock. Posteriormente, o atacante obteve permissões de administrador, falsificou tokens CVT, manipulou o oráculo, desligou mecanismos de segurança e transferiu ativos de elevado valor do pool.

O cofundador da Chaos Labs, Omer Goldberg, também publicou nas redes sociais que, uma semana antes, o Drift migrou para uma nova carteira multisig, criada por um dos signatários que fazia parte do multisig original. E esse signatário não se adicionou à nova lista de signatários. O atacante, ao mesmo tempo, iniciou uma proposta no multisig antigo para transferir as permissões de administrador para esta nova carteira. Os novos multisigs têm um total de 5 signatários: apenas 1 é proveniente da equipa original; os restantes 4 são endereços totalmente novos. Esta carteira foi configurada com um limite multisig 2/5 e não possui qualquer timelock (atraso de 0 segundos). Nas primeiras horas de 2 de abril, este único signatário original iniciou uma proposta via nova multisig para alterar as permissões de administrador do Drift. Um signatário novo assinou em 1 segundo, satisfazendo instantaneamente o limiar 2/5. Como não havia timelock, a transação foi executada imediatamente.

Além disso, circula na comunidade que um membro central da equipa Drift teria deixado a empresa um mês antes, mas não é um facto confirmado oficialmente; falta evidência para suportar isso. Atualmente, trata-se apenas de especulação/rumor na comunidade do X (Twitter), sem nomes específicos, e sem confirmação por parte de meios de comunicação mainstream ou do próprio Drift. Nas notícias mais relevantes e nas declarações oficiais do Drift, não é mencionado de forma alguma que qualquer membro da equipa tenha deixado o cargo um mês antes.

Mesmo assim, a possibilidade de “roubo com a guarda do próprio” é, de facto, a direção com maior discussão no setor e as maiores dúvidas — e até faz mais sentido do que “intrusão por parte de hackers externos”. Antes, o ajuste oficial do multisig tornou a estrutura de permissões “demasiado conveniente para ataque”, o que não parece um acidente; a técnica de ataque “demonstrou demasiado conhecimento da lógica interna”, não correspondendo ao estilo típico de um hacker externo. E a resposta oficial ao roubo de uma quantia tão elevada foi anormalmente fria; após o roubo, o fluxo de fundos foi muito limpo e claro, rapidamente convertido para ETH e efetuadas operações cross-chain, sem entrada em bolsas centralizadas suscetíveis a congelamento. Todo este processo e lógica operacional. Fizeram com que a suspeita da comunidade sobre o “roubo com a guarda do próprio” por parte do Drift oficial se intensificasse.

III. Partes envolvidas e reações da comunidade cripto

Após o incidente de roubo de ativos do Drift Protocol, as partes relevantes e a comunidade cripto reagiram de formas diferentes:

• No incidente de roubo do protocolo DeFi Drift, a perda da posição JLP foi de aproximadamente 155,6 milhões de dólares. A este respeito, a Jupiter oficial declarou que a plataforma não foi afetada por este evento: os seus produtos de empréstimo Jupiter Lend não têm exposição ao mercado Drift, e os ativos JLP “são totalmente suportados por ativos subjacentes”. A Jupiter acrescentou que este incidente foi “um dia difícil” para o ecossistema Solana DeFi e expressou a sua preocupação ao time do Drift e aos utilizadores afetados.

• A Unitas Protocol, protocolo de geração de rendimento, tuitou dizendo que não foi afetada pelo ataque ao Drift Protocol. A Unitas não tem qualquer exposição ao Drift. Todo o colateral está seguro, todas as estratégias (incluindo a estratégia de neutralidade Delta do JLP) estão a funcionar normalmente. Os fundos dos utilizadores estão seguros. O colateral pode ser validado em tempo real através do painel de provas de reservas da Accountable e da Primus Labs.

• A Meteora, protocolo de liquidez da Solana, tuitou que todo o dinheiro na Meteora está seguro, e que todas as funcionalidades e o cofre da plataforma não interagem com o protocolo Drift.

• A Anna, fundadora da infra de stablecoins Perena, tuitou que o seu Perena USD*, USD*-J e USD*-P não foram afetados pelo incidente de ataque ao Drift. No entanto, o cofre de JLP da equipa gerido pelo Neutral Trade, uma plataforma de partilha de estratégias de quantificação no ecossistema Solana, foi afetado por estar a correr no Drift Protocol; a equipa está em contacto com os parceiros e continuará a atualizar os progressos.

• Utilizador da plataforma X @hzkj99: o protocolo de ativos Drift Protocol no ecossistema SOL foi roubado, com prejuízos de centenas de milhões. Sempre que há fundos envolvidos, a segurança é a primeira prioridade; especialmente num mercado de baixa (bear market), também haverá definitivamente novos protocolos que serão roubados. Este mundo é mesmo um grande circo improvisado. Alguns protocolos até podem ser roubados várias vezes, e o Drift também não é o último a ser roubado.

• Utilizador da plataforma X @lanhubiji: o Drift Protocol sofreu uma exploração grave de vulnerabilidades, com perdas na ordem de cerca de 270 milhões de dólares, sendo um dos maiores incidentes de ataque DeFi até agora em 2026. Alguns posts, de forma séria, dizem: “A Fundação Solana está a coordenar um rollback com os servidores da cave do Toly (cofundador)”. É uma piada, mas dizer isso vai longe demais.

• Utilizador da plataforma X @EnHeng456: em mercado de baixa, guardar dinheiro é mesmo preciso ter cuidado; o ambiente está cada vez mais inseguro, com notícias de roubos por todo o lado. Alguns protocolos antigos também têm problemas especificamente em mercado de baixa. Tu nem consegues distinguir bem se foi ataque de hackers ou roubo com a guarda do próprio. Recentemente, eu também fiquei mais conservador: apenas deixei tudo no USD1 e não me atrevi a guardar em todo o lado. Com esta tendência, quanto mais se mexe, mais fácil é dar problema. Às vezes, não fazer nada é mesmo a melhor opção; o Drift foi roubado em 8B de dólares e depois entrou no bolso do “general”.

IV. Impacto do incidente de roubo do Drift Protocol

O incidente do Drift Protocol envolvendo 285 milhões de dólares roubados é o segundo maior ataque DeFi na história do ecossistema Solana. O seu impacto ultrapassa em muito o próprio protocolo, atingindo fortemente a confiança no ecossistema Solana e acelerando a transformação da segurança em DeFi.

Este ataque expôs uma falha fatal dos projetos DeFi na gestão de permissões multisig e na segurança de oráculos. “Permissões é o cofre” e uma vez que as chaves do administrador caem nas mãos de terceiros, e na ausência de mecanismos de emergência como timelock, qualquer lógica de código complexa pode falhar instantaneamente. Para o Drift Protocol, a menos que o dinheiro seja recuperado ou haja alguém “de grandes dimensões” a assumir, o cenário aponta para liquidação, falência e ações judiciais. Para a Solana e para o seu ecossistema, o golpe à reputação do ecossistema é severo: fluxo de saída de fundos no curto prazo, abrandamento do crescimento no curto prazo; e no longo prazo, uma pressão direta para atualizações de segurança. E para toda a indústria DeFi, pode dizer-se que é um ponto de viragem do setor: “a segurança de permissões é superior à segurança do código” torna-se uma regra inquebrável. Os custos de confiança aumentam drasticamente e o DeFi entrará numa nova fase de mais conformidade, mais transparência e mais centralização (governação de segurança).