Uma mensagem no Slack chega. Um membro do time de segurança do Drift Protocol clica em aprovar. Doze minutos depois, 285 milhões de dólares desaparecem.
Falando sem rodeios: não foi nenhum exploit aleatório. Em 1º de abril de 2026, suspeitos operativos norte-coreanos executaram o que a empresa de inteligência blockchain TRM Labs classifica como o segundo maior roubo da história da Solana—e o maior exploit DeFi do ano. A velocidade por si só deveria te assustar. A sofisticação? Aí é pior ainda.
O Drift Protocol é a exchange descentralizada de futuros perpétuos da Solana, basicamente o lugar onde traders vão fazer apostas pesadas em cripto sem um banco no meio. Bilhões estavam trancados lá. Bilhões mesmo. Então é lógico que virou alvo de adversários com apoio de estado-nação e tempo ilimitado pra planejar.
A Preparação de Três Semanas Que Ninguém Viu
O que me assusta é isso: não foi um roubo de um dia pro outro. A TRM Labs rastreou a operação até 11 de março, quando os atacantes sacaram 10 ETH do Tornado Cash—um mixer tão associado a crimes que só mencionar já deveria soar o alarme. Mas o time de segurança do Drift? Silêncio total.
Os atacantes foram criativos. Criaram um token fantasma chamado CarbonVote Token (CVT). Parece oficial, né? Eles mineraram 750 milhões deles, jogaram alguns milhares de dólares em liquidez na Raydium, e aí vem o melhor—fizeram wash trade obsessivo. Ida e volta, ida e volta. Construindo um histórico de preço falso que flutuava perto de 1 dólar por token.
Os oráculos de preço do Drift? Caíram na cilada. Olharam pro dados de mercado e pensaram, “Mano, parece legítimo mesmo”. De repente, o protocolo tinha aceitado um token sem valor como se valesse centenas de milhões.
“A operação, completada em aproximadamente 12 minutos, marca o maior exploit de finanças descentralizadas (DeFi) de 2026 e a segunda maior violação na história da blockchain Solana.” — TRM Labs
Por Que a Multisig Falhou Tão Feio?
Aqui é onde fica revoltante. Entre 23 de março e 30 de março, os hackers usaram o recurso durable nonce da Solana pra pré-assinar transações. Fizeram engenharia social com membros do Security Council multissinatura do Drift—basicamente os guardiões da porta—pra aprovar o que parecia ser transações inofensivas. Exceto que não eram. Eles embutiam privilégios administrativos elevados no sistema como um cavalo de Troia envolvido em linguagem burocrática entediante.
Aí veio o gol contra. Em 27 de março, o Drift atualizou sua estrutura de Security Council pra 2-de-5 aprovações e—isso é crítico—removeu completamente o timelock delay. Sem período de espera. Sem circuit breaker. Nada. É como tirar o cadeado da sua porta na frente de um arrombador profissional.
Quando 1º de abril chegou, os atacantes ativaram suas transações pré-assinadas em sucessão rápida. CVT foi listado como colateral aprovado. Limites de saque explodiram. Os tokens falsos inundaram o sistema. Depois vieram 31 transações de saque que esvaziaram ativos genuínos—USDC, tokens JLP—de múltiplos vaults. O dinheiro saiu pela porta e foi bridgeado pra Ethereum antes de qualquer um piscar.
As Digitais Apontam pro Norte
A TRM Labs rastreou migalhas de pão digitais o suficiente pra se sentir confiante sobre a atribuição. Uso do Tornado Cash. Timing perfeitamente alinhado com horário comercial de Pyongyang (sério mesmo—12 de março, 9:00 da manhã horário local). Bridging agressivo entre cadeias. Padrões de lavagem que espelham o exploit do Bybit de 2025, também rastreado até a Coreia do Norte.
A resposta do Drift foi correta, mas reativa. Confirmou a violação em 2 de abril. Congelou a plataforma. Viu seu token DRIFT despencar 40 por cento. O estrago já tava feito.
O Que Isso Realmente Revela Sobre Segurança em DeFi
Minha opinião depois de duas décadas acompanhando esse setor: a maior vulnerabilidade do DeFi não é código—é gente e processo. Os engenheiros mais inteligentes do mundo co
