A rede DeFi Drift Protocol sofreu um golpe sério: segundo o seu próprio relatório e o acompanhamento de assinaturas forenses, um ator malicioso conseguiu retirar os poderes administrativos do chamado Security Council e, consequentemente, subtrair centenas de milhões de activos. Drift estima perdas em torno de $80 milhões, enquanto o rastreador on-chain PeckShield cifra o saque em aproximadamente $85 milhões. Você pode ver a atualização oficial do Drift em seu comunicado público em X/Twitter aqui e a contagem de PeckShield aqui.
O que distingue este incidente não é uma falha nos contratos inteligentes de Drift – a plataforma insiste que seus programas não foram explorados e que não foram filtrados seed phrases – mas sim uma manobra planejada e cirúrgica contra a governança administrativa. O atacante aproveitou uma funcionalidade própria da blockchain de Solana conhecida comodurável noncesCombinou transações pré-assinadas para orquestrar um ataque retardado e preciso. A documentação técnica de Solana sobre esta característica explica como as nonces duradouras permitem criar transações válidas que podem ser realizadas em um momento posterior; Drift alega que isso foi exatamente o que usou o atacante para cronometrar o golpe — mais detalhes técnicos na documentação oficial de Solana aqui.
Segundo a cronologia que Drift publicou, a preparação ocorreu entre 23 e 30 de março, um período em que o atacante criou contas com durable nonce e obteve aprobações parciais do multisig do Security Council: conseguiram reunir 2 de 5 assinaturas necessárias para atingir o limiar necessário e prefirmaram transações maliciosas sem executá-las imediatamente. Esse conjunto de elementos — transações assinadas antecipadamente que permanecem válidas graças aos nonces duradouros — permitiu que, em 1 de Abril, o atacante realizasse primeiro uma operação legítima e ato seguido desencadeasse as instruções pré-assinadas para transferir o controle administrativo para seus endereços em questão de minutos.
Com o controle administrativo em seu poder, o agressor introduziu um ativo fraudulento dentro do protocolo, suprimiu limites de retirada e procedeu a esvaziar fundos de depósitos de empréstimos, bóbadas e contas de trading. Drift assegurou que certos componentes, como DSOL, não foram afetados e que os ativos de seu fundo de seguros permanecem protegidos, mas a maioria das funções do protocolo ficaram praticamente paralisadas enquanto se investiga o alcance total do dano. Diante da atividade anómala, a plataforma emitiu advertências públicas solicitando aos usuários que não depositaram mais fundos e activou uma investigação coordenada com assinaturas de segurança, exchanges e autoridades.
Além do número final - que ainda pode variar em função de recuperações ou reclassificações - o episódio evidencia um vetor de risco que nem sempre recebe a atenção que merece: a segurança das chaves e dos processos de assinatura em estruturas multisig e de governança. Quando a lógica do protocolo e os contratos são projetados corretamente, quem controla as chaves administrativas pode impor ações sistêmicas, embora a base de código seja robusta. Por isso, mesmo em projetos não guardais como Drift — que lembram seu modelo na sua revisão anual, onde informaram centenas de milhares de traders e volumes significativos de operação consultar aqui — a protecção dos fluxos de assinatura e dos ambientes em que são aprovadas transacções é crítica.
Ainda não há uma conclusão pública sobre como as aprobações do multisig foram obtidas: pôde ser tratada de dispositivos comprometidos, engenharias de confiança dirigidas aos signatários ou falhas nos processos operacionais que permitem que as aprovações parciais sejam combinadas com transações pré-firmadas. Seja qual for o vetor, a lição prática para outros protocolos e para usuários é clara: manter assinaturas críticas em ambientes isolados, empregar mecanismos de timelock que permitam reagir a operações incomuns e revisar os limites e permissões administrativos regularmente. Tudo isto deve ser complementado com monitorização ativa da cadeia e cooperações com analytics e exchanges para tentar congelar fundos o mais rapidamente possível, como o Drift disse que está a tentar fazer.
A comunidade DeFi e os usuários afetados estarão pendentes do post-mortem que Drift prometeu publicar nos próximos dias. Esse relatório deveria esclarecer as medidas forenses tomadas, a natureza exacta das transacções pré-assinadas e as recomendações para evitar que esquemas semelhantes voltem a ser eficazes. Entretanto, qualquer pessoa com exposição ao protocolo deve rever comunicações oficiais e transferir ativos para ambientes seguros se necessário. Para seguir as atualizações oficiais do Drift e seu aviso inicial ao público, as suas mensagens podem ser consultadas em X/Twitter aqui.
Este incidente lembra que, no ecossistema cripto, a segurança não depende exclusivamente da correção do código: também o fazem as pessoas, os processos e as ferramentas que gerem as assinaturas. Enquanto pesquisadores e autoridades tentam rastrear e, na medida do possível, congelar fundos, a indústria deve refletir sobre como endurecer os modelos de governo e diminuir a superfície de ataque que representam transações pré-preparadas e esquemas de assinatura vulneráveis.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...