Em 1º de abril de 2026, a Drift Protocol — maior exchange descentralizada de futuros perpétuos na Solana — perdeu US$ 285 milhões em menos de 12 minutos. O maior hack DeFi do ano expõe falhas de governança que nenhuma auditoria de código detecta — e lições urgentes para quem opera em protocolos descentralizados.
O ataque à Drift Protocol não foi um bug de código. Foi uma operação de inteligência que combinou engenharia social, token falso, manipulação de oráculos e uma funcionalidade legítima da rede Solana para contornar todas as proteções do protocolo. Em aproximadamente 12 minutos, atacantes atribuídos ao Lazarus Group — grupo hacker vinculado à Coreia do Norte — drenaram cerca de US$ 285 milhões dos principais vaults da plataforma.
O episódio reacendeu um debate essencial no ecossistema cripto: onde seus ativos estão, de fato, seguros? A resposta depende de uma distinção que poucos investidores conhecem — e que este artigo explica em detalhe, com base em relatórios das firmas de inteligência blockchain Elliptic e TRM Labs.
O que era a Drift Protocol
A Drift Protocol operava como a maior exchange descentralizada de futuros perpétuos na rede Solana, com mais de US$ 550 milhões em TVL (Total Value Locked) no momento do ataque. A plataforma oferecia trading alavancado, staking de SOL, estratégias delta-neutras e vaults de rendimento — tudo on-chain, sem intermediário centralizado.
Os principais vaults afetados foram o JLP Delta Neutral, o SOL Super Staking e o BTC Super Staking. Juntos, representavam a maior parte do TVL do protocolo — e foram esvaziados em cerca de 12 minutos na tarde do dia 1º de abril de 2026.
Como o hack DeFi foi executado: três vetores encadeados
Segundo análises da TRM Labs e da Elliptic, o ataque foi preparado ao longo de aproximadamente três semanas e combinou três vetores distintos — nenhum deles explorou uma vulnerabilidade de código propriamente dita.
O atacante criou o token CarbonVote (CVT) com custo de cerca de US$ 500 e usou wash trading para inflar artificialmente seu preço. Os oráculos da Drift passaram a tratar o CVT como colateral legítimo, avaliado em centenas de milhões de dólares.
Signatários do Security Council foram alvos de engenharia social sofisticada. O atacante obteve pré-assinaturas de transações administrativas usando durable nonces — funcionalidade legítima da Solana que permite assinar transações para execução futura.
Semanas antes do ataque, o multisig do Security Council foi migrado para configuração 2/5 sem timelock. Isso permitiu que transações administrativas fossem executadas instantaneamente, sem período de espera para detecção pela comunidade.
Após o exploit, os fundos foram convertidos em USDC via Jupiter (Solana), movidos para Ethereum via CCTP da Circle e trocados por ETH. A velocidade da lavagem superou a registrada no hack da Bybit em 2025.
A timeline do ataque
A preparação começou em 11 de março de 2026, quando o atacante sacou 10 ETH do Tornado Cash para financiar a infraestrutura. Os horários on-chain coincidem com o expediente comercial em Pyongyang. Em 12 de março, o token CarbonVote (CVT) foi criado com liquidez mínima, e o wash trading teve início.
Nas semanas seguintes, a engenharia social sobre os signatários do multisig foi executada. Por volta de 24 de março, o atacante já havia obtido as pré-assinaturas com durable nonces — transações dormentes aguardando o momento certo.
Em 1º de abril, às 13h30 UTC, os monitores on-chain Lookonchain e PeckShield detectaram movimentações suspeitas. Mais de US$ 250 milhões já haviam saído dos vaults. Às 14h00 UTC, a Drift publicou no X: “Estamos observando atividade incomum. Não depositem fundos. Isto não é uma piada de 1º de abril.”
A lição técnica central
O ataque à Drift não explorou uma vulnerabilidade de código — explorou confiança: nos oráculos de preço, nos signatários do multisig e na ausência de timelocks na governança. Auditorias de código realizadas por firmas como Trail of Bits e ClawSecure não detectaram esses vetores porque eles não são bugs. São falhas de arquitetura de governança — invisíveis para revisores que analisam apenas o código.
Impacto: TVL, token DRIFT e contágio em cadeia
O TVL da Drift despencou de aproximadamente US$ 550 milhões para menos de US$ 250 milhões em menos de uma hora. O token DRIFT registrou queda entre 37% e 42%, atingindo mínimas na faixa de US$ 0,04 a US$ 0,05.
O efeito contágio foi significativo: mais de 20 protocolos Solana com exposição à Drift suspenderam operações, depósitos ou saques. O escritório de advocacia Gibbs Mura abriu investigação para class action em nome de investidores, incluindo possível ação contra a Circle por não ter congelado o USDC durante o bridge para Ethereum.
Lazarus Group: o ator por trás do hack DeFi
As firmas Elliptic e TRM Labs atribuíram o ataque a hackers norte-coreanos vinculados ao estado, apontando padrões consistentes com operações anteriores do Lazarus Group: origem dos fundos via Tornado Cash, horários de atividade on-chain alinhados ao fuso de Pyongyang, e uso da mesma técnica de engenharia social sofisticada empregada no hack da Radiant Capital em outubro de 2024 (US$ 50 milhões).
O governo dos EUA vincula essas operações ao financiamento do programa de armas nucleares da Coreia do Norte. Segundo a Elliptic, o grupo roubou mais de US$ 300 milhões apenas no primeiro trimestre de 2026 — colocando a Drift como o episódio mais grave do período.
Hardware wallet protege contra hack DeFi? Depende do cenário
Esta é a distinção mais importante para qualquer investidor que opera em protocolos descentralizados. A resposta não é simples — e confundi-la pode custar caro.
- ✅ Fundos em autocustódia: Sim, a hardware wallet protege. As chaves privadas ficam offline, no Secure Element do dispositivo. Sem acesso físico ao aparelho, nenhum atacante remoto pode mover os fundos. Dispositivos como a Trezor Safe 5 implementam essa proteção com chip dedicado e tela de verificação independente.
- ✗ Fundos depositados em protocolo DeFi: Não. Quando você deposita em um vault, pool ou staking on-chain, os fundos ficam sob custódia do smart contract. Se o protocolo é hackeado, os fundos são drenados — independentemente de qual wallet você usa.
- ⚠️ Assinatura de transação maliciosa: Proteção parcial. Com o recurso de Clear Signing, você vê na tela do dispositivo exatamente o que está aprovando — endereço do contrato, valor e tipo de operação. Mas se o protocolo em si for comprometido após a assinatura legítima, a wallet não pode reverter a operação.
📌 Nota editorial
Para quem deseja proteger suas chaves com o máximo rigor, o KriptoSteel Titan oferece backup da seed phrase em titânio — resistente a fogo, água e impacto físico. É o complemento recomendado para qualquer hardware wallet: se o dispositivo for destruído, a seed gravada em metal permanece intacta. Leia também: como blindar suas criptomoedas contra roubos.
Sete lições de segurança DeFi após o hack Drift
O caso Drift não é isolado. O mesmo padrão de governança fraca e engenharia social foi documentado nos hacks da Ronin Bridge (US$ 625 milhões, 2022) e da Bybit (US$ 1,5 bilhão, 2025). As lições abaixo são estruturais — aplicáveis a qualquer protocolo DeFi.
Deposite em protocolos DeFi apenas o necessário para a estratégia ativa. O restante deve ficar em uma hardware wallet sob seu controle exclusivo — onde nenhum smart contract tem acesso.
Verifique: o multisig tem timelock? Quantas assinaturas são necessárias? A configuração é pública? Governança fraca é tão perigosa quanto código vulnerável — e costuma ser ignorada.
Protocolos sérios implementam períodos de espera de 24 a 72 horas para alterações administrativas. Se um protocolo permite mudanças instantâneas no multisig, o risco estrutural é elevado.
O contágio da Drift afetou mais de 20 protocolos com exposição ao ecossistema. Concentrar todos os fundos DeFi em uma única plataforma amplifica o risco de perda total em um único evento.
Ao interagir com DApps, sempre use o recurso de Clear Signing: verifique na tela do dispositivo o endereço do contrato, o valor e o tipo de operação antes de confirmar. Essa prática simples elimina uma categoria inteira de ataques de phishing direcionados a usuários DeFi.
Para quem opera também em exchanges centralizadas, proteger o acesso à conta com uma chave de segurança física é uma camada adicional relevante. Dispositivos de autenticação FIDO2 são imunes a phishing e a ataques de engenharia social do tipo que comprometeu os signatários da Drift.
Por fim, entender como funcionam oráculos, multisigs, timelocks e vaults antes de alocar capital é uma precaução básica. O Curso de Segurança e Privacidade da KriptoBR cobre esses fundamentos de forma aplicada, incluindo como interagir com DApps usando hardware wallet com segurança.
Perguntas frequentes sobre o hack Drift Protocol
Os fundos foram recuperados?
Até abril de 2026, não. A Drift suspendeu operações e o caso segue sob investigação. Parte dos recursos foi movida para Ethereum via CCTP e convertida em ETH. A Circle não congelou o USDC durante o bridge, gerando controvérsia e investigação legal pelo escritório Gibbs Mura.
Uma hardware wallet teria protegido meus fundos na Drift?
Não para os fundos depositados nos vaults. Hardware wallets protegem chaves sob seu controle direto. Fundos em smart contracts de protocolos DeFi estão sob custódia do protocolo — se ele é explorado, os fundos são perdidos independentemente do dispositivo utilizado.
Quem foi responsável pelo ataque?
As firmas Elliptic e TRM Labs atribuem o ataque ao Lazarus Group, grupo hacker vinculado ao estado norte-coreano — o mesmo responsável pelos hacks da Ronin Bridge (US$ 625M, 2022) e da Bybit (US$ 1,5B, 2025).
📰 Fontes consultadas
TRM Labs — Drift Protocol Heist · Elliptic — Drift Exploit Analysis · CCN — Drift Protocol $285M Hack · Bitcoin.com — Drift Protocol Hack 2026
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos em autocustódia real — não em smart contracts de terceiros
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Como funciona uma hardware wallet: guia completoDo Secure Element ao Clear Signing: tudo que você precisa saber antes de escolher seu dispositivo de autocustódia.
⚠️ Os maiores hacks cripto da história: linha do tempoDe Mt. Gox à Bybit: como os maiores roubos do ecossistema aconteceram e o que cada um revelou sobre as vulnerabilidades do setor.