Hack no Drift Protocol do Solana. Essa é a frase que tá rolando solta no Twitter da crypto agora, mas sacode a cabeça — todo mundo jurava que o próximo golpe viria de uma linha marota de smart contract, um bug de reentrância roendo bilhões. Nada disso. Esse soco no estômago de US$ 285 milhões em 1º de abril de 2026 vira o jogo: os humanos, não o código, foram o elo fraco.
Ó, o Drift Protocol — o rei das perpétuas no Solana — foi destruído não por um Solidity bugado (ou Rust, o que o Solana curte), mas por um token fantasma e uma engenharia social afiada. Os atacantes, apontados pela TRM Labs como pros norte-coreanos, se prepararam por semanas. Criaram o CarbonVote Token (CVT), uma invenção total, jogaram uma mixaria no Raydium, lavaram volume pra simular preço de US$ 1. Pronto — os oráculos engoliram a lorota. O CVT parecia legítimo pros sistemas do Drift.
E aí vem a cereja do bolo.
Como Uns Mil Dólares Viraram Roubo de US$ 285 Milhões
Não hackearam código. Sem zero-days, sem overflows. Em vez disso, usaram durable nonces — recurso nativo do Solana pra transações pré-assinadas que ficam zanzando pra sempre. Os caras fizeram engenharia social nos signers do multisig do Security Council do Drift, convencendo eles a carimbar “transações rotineiras” cheias de maldade. Dia 27 de março, Drift muda pra threshold 2-de-5, zero timelock. Sem delay, sem janela pra detectar. 1º de abril: lista o CVT como collateral, sobe os limites de saque pro infinito, esvazia 20 vaults em 12 minutos lisos.
Um ator malicioso ganhou acesso não autorizado ao Drift Protocol por um ataque novo envolvendo durable nonces, resultando em uma tomada rápida dos poderes administrativos do Security Council do Drift.
— Drift Protocol, via X
O butim roubado? Virou USDC, SOL, bridged pelo CCTP da Circle pro Ethereum — 129k ETH empilhados. Nada de freeze pela Circle, nem nos horários dos EUA, o ZachXBT detonou eles. TVL caiu pela metade, de US$ 550M pra US$ 252M, token DRIFT despencou 40%. Efeitos colaterais em 20 protocolos; uns pausaram, outros engoliram prejuízo dos tesouros da equipe.
Mas peraí — a Lily Liu do Solana cravou:
Os smart contracts aguentaram. Os alvos de verdade agora são os humanos: engenharia social e fraquezas de opsec valem mais que exploits de código.
— Lily Liu, President, Solana Foundation
Auditorias? Trail of Bits em 2022, ClawSecure em fev/2026. Impecáveis nos contratos. Governança? Fora do radar. Migração zero-timelock? Decisão humana, sem freio.
Isso não é só um hack. É um manifesto.
Imagina o Império Romano — legiões invencíveis, mas imperadores envenenados por sussurros no fórum. DeFi é igual: contratos são tua falange de ferro, mas governança é o senado tramando, pronto pra infiltração. O manual norte-coreano — Ronin 2022, Bybit 2025 — staking paciente via Tornado Cash, comprometimento de signers, fintas de semanas. Chainalysis conta US$ 2B roubados só em 2025. Eles não arrombam; já tão dentro, tomando cafezinho em máquinas hackeadas.
Minha aposta ousada, que ninguém tá tocando: isso acende guardiões de governança com IA no DeFi. Imagina agentes autônomos — não humanos — checando pré-assinaturas com oráculos zero-trust, detecção de anomalias ligada 24/7. A virada da blockchain espelha a da IA: código escala pra sempre, humanos vazam. O Drift acelera essa real, parindo protocolos onde signers são sentinelas de silício, não multisigs moles. Pensa nisso — lição de US$ 285M nos impulsiona pra frente.
Por Que Hacks de Governança São o Novo Pesadelo do DeFi?
Resposta curta: escala. Drift tinha mais de US$ 400M antes do ataque, maior perp DEX do Solana. Um token fake, legitimidade fabricada — oráculos paparam. Limites de saque? Pro céu. Fundos fugiram pra HyperLiquid, Binance. Apelos on-chain do Drift pros wallets do ladrão? Silêncio até agora.
Elliptic e TRM veem digitais da DPRK: staging on-chain em horários de Pyongyang, lavagem mais rápida que Bybit. Maior golpe DeFi de 2026, segundo no Solana pós-Wormhole.
Ho
