Grupo Lazarus da RPDC Suspeito de Roubo de $286 Milhões em Solana no Drift Protocol
O Drift Protocol, a maior bolsa descentralizada de futuros perpétuos na rede Solana, confirmou a exploração após observar o seu Valor Total Bloqueado (TVL) colapsar de aproximadamente $550 milhões para menos de $250 milhões numa única manhã, situando-se agora em $232 milhões. O Bitcoin.com News foi o primeiro a reportar o problema. O token DRIFT caiu até 37%–42% nas horas seguintes, atingindo o fundo perto de $0,04 a $0,05.
Os relatórios indicam que o ataque não começou com um erro de código, mas com um levantamento do Tornado Cash. A 11 de março, o atacante retirou ETH do protocolo de privacidade baseado em Ethereum e usou esses fundos para implementar o token carbonvote, ou CVT, a 12 de março. Analistas de blockchain notaram que o carimbo temporal de implementação correspondia aproximadamente às 09:00 hora de Pyongyang, um detalhe que levantou bandeiras imediatas.
token DRIFT a 3 de abril de 2026.Vários relatórios detalham que ao longo das três semanas seguintes, o atacante alimentou liquidez mínima para CVT na bolsa descentralizada Raydium e usou wash trading para manter um preço próximo de $1,00. Os oráculos do Drift leram esse preço como legítimo. O atacante havia construído garantia falsa que parecia real para todos os sistemas automatizados a observá-la.
"Hoje mais cedo, um ator malicioso obteve acesso não autorizado ao Drift Protocol através de um ataque inovador envolvendo nonces duráveis, resultando numa rápida tomada de controlo dos poderes administrativos do Conselho de Segurança do Drift," escreveu a equipa do Drift.
A conta X do projeto acrescentou:
Ostensivamente, entre 23 e 30 de março, o atacante do Drift moveu-se para a camada humana. Usando uma funcionalidade legítima do Solana chamada nonces duráveis, o atacante alegadamente induziu membros do multisig do Conselho de Segurança do Drift a pré-assinar transações que pareciam rotineiras. Essas assinaturas tornaram-se chaves de acesso pré-aprovadas, mantidas em reserva até o atacante estar pronto.
A abertura fechou a 27 de março, quando o Drift migrou o seu Conselho de Segurança para um limiar de assinatura 2-de-5 e removeu completamente o seu timelock. Um timelock normalmente força um atraso de 24 a 72 horas nas ações administrativas, dando à comunidade tempo para detetar e reverter qualquer coisa suspeita. Sem ele, o atacante tinha autoridade de execução com zero atrasos. As transações pré-assinadas estavam ativas no momento em que o timelock desapareceu.
A 1 de abril, o atacante ativou essas transações, listou CVT como garantia válida, elevou limites de levantamento e depositou centenas de milhões em tokens CVT contra os quais o motor de risco do Drift emitiu ativos reais. O protocolo entregou milhões em tokens JLP, milhões em USDC, milhões em SOL e quantidades menores de bitcoin e ethereum encapsulados. Trinta e uma transações de levantamento foram processadas em aproximadamente 12 minutos.
O atacante converteu os tokens roubados em USDC usando Jupiter, fez bridge para Ethereum e trocou por dezenas de milhares de ETH. Alguns fundos foram direcionados através do Hyperliquid, e uma porção moveu-se diretamente para a Binance. A 3 de abril, o Drift enviou uma mensagem on-chain de um endereço Ethereum para quatro carteiras controladas pelo hacker. A publicação cryptonomist.ch reporta que a mensagem dizia:
As empresas de segurança Elliptic e TRM Labs atribuíram o ataque a atores de ameaça ligados à RPDC, citando a origem do Tornado Cash, a assinatura de implementação hora de Pyongyang, o foco em engenharia social e a velocidade de lavagem pós-hack. O Grupo Lazarus usou a mesma paciência e abordagem de targeting humano no hack da bridge Ronin em 2022. O governo dos EUA vinculou estes roubos ao financiamento do programa de armas da Coreia do Norte, e a Elliptic rastreou mais de $300 milhões roubados apenas no primeiro trimestre de 2026.
O contágio espalhou-se para mais de 20 protocolos. O Prime Numbers Fi reportou perdas na casa dos milhões. O Carrot Protocol pausou funções de mint e redeem após 50% do seu TVL ser afetado. O Pyra Protocol desativou completamente os levantamentos, deixando todos os fundos dos utilizadores inacessíveis. O Piggybank perdeu $106.000 e reembolsou os utilizadores do seu próprio tesouro de equipa.
A DeFi Development Corp., uma empresa listada na Nasdaq com uma estratégia de tesouro Solana, confirmou a 1 de abril que não tinha exposição ao Drift. A sua estrutura de risco excluiu completamente o protocolo. Esse facto atraiu mais atenção do que a empresa provavelmente pretendia.
O incidente do Drift produziu uma lição clara que a maior parte da indústria já sabia mas não tinha aplicado completamente: um timelock não é opcional. A remoção dessa única salvaguarda a 27 de março converteu um ataque complexo de múltiplas semanas num saque de 12 minutos. A governança de protocolo sem um mecanismo de atraso é governança com uma porta aberta.
As próximas 48 horas após o ataque DeFi foram descritas como críticas para a capacidade do Drift de reter a confiança do utilizador e mapear um caminho de recuperação. A 3 de abril, nenhum plano de reembolso abrangente tinha sido anunciado.
FAQ 🔎
- O que aconteceu ao Drift Protocol? Atacantes drenaram $286 milhões do Drift Protocol a 1 de abril de 2026, usando garantia falsa e transações administrativas pré-assinadas para esvaziar os cofres centrais do protocolo em 12 minutos.
- Quem é responsável pelo hack do Drift Protocol? Empresas de segurança, incluindo Elliptic e TRM Labs, atribuíram o ataque a atores de ameaça ligados à RPDC, citando padrões de lavagem e carimbos temporais on-chain consistentes com as táticas do Grupo Lazarus.
- O meu dinheiro está seguro no Drift Protocol? O Drift suspendeu todos os depósitos e levantamentos após o ataque; os utilizadores em protocolos afetados como Pyra e Carrot permanecem incapazes de aceder aos fundos a 3 de abril de 2026.
- O que é um ataque de nonce durável em Solana DeFi? Um ataque de nonce durável usa uma funcionalidade legítima do Solana para pré-assinar transações que parecem rotineiras, mantendo-as como chaves de autorização ativas até o atacante escolher executá-las.
Fonte: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
