O maior hack de DeFi deste ano ocorreu na semana passada, a 1 de abril, quando o Drift Protocol, uma das maiores DEXs de futuros perpétuos na rede Solana, sofreu um exploit que fez desaparecer cerca de $286 milhões do protocolo. O ataque foi associado a hackers ligados à Coreia do Norte e todo o hack ocorreu em apenas 10 segundos. O que é surpreendente neste hack, no entanto, foi a sua natureza meticulosa. Nenhum código foi quebrado e nenhum contrato inteligente tinha um bug. As investigações de empresas de perícia forense em cripto como a Elliptic e a TRM Labs apontam, na verdade, para um hack muito mais calculado.
Os atacantes norte-coreanos passaram três semanas a fabricar um token falso chamado CarbonVote, alimentando-o com alguns milhares de dólares para o fazer parecer real, enquanto ao mesmo tempo manipulavam socialmente dois dos cinco signatários multisig do Conselho de Segurança do Drift para pré-assinarem autorizações ocultas que não compreendiam totalmente. Após isto, usaram depois uma funcionalidade do Solana chamada "durable nonces" para manter essas assinaturas em reserva durante mais de uma semana, esperando pelo momento certo. Bastou uma única transação a 1 de abril.
Como observado pela Elliptic, este ataque foi o 18.º hack de cripto ligado à Coreia do Norte apenas este ano, retirando cerca de $300 milhões do espaço. Quatro dias após o hack, o Diretor de tecnologia (CTO) da Ledger pronunciou-se publicamente para destacar a natureza alarmante do hack e que a IA está a reduzir o custo de ataques como este "a zero". Essa declaração é muito importante porque o hack do Drift é um caso de estudo sobre como estas operações funcionam agora. Os atacantes não precisaram de uma vulnerabilidade de dia zero nem de um criptógrafo de topo. Tudo o que precisaram foi de paciência, um token falso convincente e dois humanos que pudessem manipular. O hack expôs, na verdade, uma vulnerabilidade estrutural nas DeFi / Finanças descentralizadas tal como existem hoje. As DeFi / Finanças descentralizadas estão a construir infraestrutura de milhares de milhões de dólares protegida por pequenos grupos de pessoas que podem ser enganadas, enquanto os adversários estão a melhorar exatamente nisto.
Como a Coreia do Norte Roubou $286 Milhões em 10 Segundos
O hack do protocolo Drift foi um exploit sofisticado que se estendeu por três semanas de preparação. A Bloomberg reportou primeiro a violação a 1 de abril, quando o protocolo Drift confirmou que cerca de $286 milhões em ativos de utilizadores tinham sido desviados. Todo o esquema começou, na verdade, lá atrás a 11 de março, quando o atacante retirou 10 ETH do Tornado Cash por volta das 9h, hora de Pyongyang, e o usou para implementar o token falso, CarbonVote (CVT), um ativo completamente fictício alimentado com alguns milhares de dólares em liquidez e mantido vivo através de Wash trading.
Ao longo das duas semanas seguintes, entre 23 e 30 de março, o atacante abriu contas de durable nonce, uma funcionalidade legítima na rede Solana que permite que as transações sejam pré-assinadas e mantidas indefinidamente sem expirar. Durante esta janela, o atacante manipulou socialmente dois dos cinco signatários multisig do Conselho de Segurança do Drift para aprovarem transações que pareciam normais mas, como a TRM Labs confirmou mais tarde, continham autorizações ocultas para controlo administrativo crítico.
A peça final caiu a 27 de março, quando o Drift migrou o seu Conselho de Segurança para uma nova configuração de limiar 2/5 com zero timelock, conforme reportado pela BlockSec, o que basicamente removeu o único atraso que teria permitido a qualquer pessoa detetar o que estava para vir. Quando chegou 1 de abril, a armadilha estava totalmente carregada há dias.
A 1 de abril, o atacante usou essas aprovações pré-assinadas para listar o CarbonVote como garantia válida, inflacionou o seu valor para centenas de milhões através de preços oracle manipulados e a governação foi tomada. A partir daí, 31 transações de saque esvaziaram os cofres do Drift numa questão de segundos. A maior porção sozinha incluiu mais de $155 milhões em tokens JLP juntamente com dezenas de milhões em USDC, SOL, ETH e outros liquid staking tokens sendo drenados e o Valor totalmente diluído no protocolo colapsou instantaneamente de cerca de $550 milhões para menos de $250 milhões.
Esta velocidade do hack é apenas uma parte desta história. Um plano detalhado que durou até três semanas e terminou num hack de 10 segundos mostrou quão facilmente a governação, não o código, pode tornar-se o elo mais fraco nas DeFi / Finanças descentralizadas.
A Guerra de Cripto de $300 Milhões da Coreia do Norte em 2026
Este hack, alegadamente perpetrado por atacantes ligados à Coreia do Norte, não é de forma alguma um evento isolado. Na verdade, se analisarmos alguns dos hacks mais mediáticos dos últimos anos, torna-se evidente que isto faz parte de uma campanha muito maior, impulsionada pelo Estado. Apenas este ano, a Elliptic reportou que o exploit do Drift é o 18.º roubo de cripto atribuído à RPDC, empurrando o valor total de fundos desviados para além dos $300 milhões até ao momento este ano. Se olharmos para além deste ano, a escala de tais hacks de um único país torna-se muito difícil de ignorar. No ano passado, atores ligados à Coreia do Norte roubaram entre $1,92 mil milhões segundo a TRM Labs, enquanto a Chainalysis coloca este valor em $2,02 mil milhões em cripto. Isto marcou um salto de 51% ano após ano em hacks conduzidos por este grupo e empurrou o seu total histórico de roubos para $6,75 mil milhões.
A Coreia do Norte representou um recorde de 76% de todos os comprometimentos de serviços em 2025, o que significa que um país é responsável pela esmagadora maioria de roubos que ocorrem na indústria. Neste contexto, o hack do Drift, que é agora o segundo maior exploit dentro do Ecossistema Solana após a violação do Wormhole em 2022, encaixa num padrão de ataques.
O que define esse padrão é a consistência. O hack da Bybit em fevereiro de 2025, o maior roubo de cripto da história, tinha configurações quase idênticas que incluíam engenharia social, acesso comprometido e troca coordenada de fundos. A TRM Labs observa que os operadores da RPDC dependem cada vez mais de redes de "lavandaria chinesa" para fundos sendo transferidos entre diferentes cadeias em questão de horas.
O ataque ao Drift mostra, na verdade, um sistema de equipas apoiadas pelo Estado a executar operações de várias semanas com reconhecimento, manipulação humana e infraestrutura de branqueamento global já em vigor.
A IA Está a Reduzir os Custos de Ataque "a Zero": Avisa o CTO da Ledger
Quatro dias após o dreno do Drift, o Diretor de tecnologia (CTO) da Ledger, Charles Guillemet, disse à CoinDesk algo que reenquadrou todo o incidente. "Encontrar vulnerabilidades e explorá-las torna-se realmente, realmente fácil", disse ele. "O custo está a ir para zero." Guillemet não nomeou o Drift, mas descreveu a sua mecânica exata. A IA não ajuda apenas os atacantes a encontrar bugs de código mais rapidamente, torna a engenharia social mais convincente, o phishing mais personalizado, e o trabalho de preparação que os operadores norte-coreanos passaram três semanas a fazer no Drift mais barato e mais escalável por uma ordem de magnitude. Ele também apontou para um problema agravante do lado defensivo: à medida que mais programadores dependem de código gerado por IA, as vulnerabilidades podem espalhar-se mais rapidamente do que os revisores humanos conseguem detetá-las. "Não há um botão 'tornar seguro'", disse ele. "Vamos produzir muito código que será inseguro por design." Os hacks e exploits causaram $1,4 mil milhões em perdas em cripto no último ano, e a projeção de Guillemet é que a curva fica mais acentuada, não mais plana.
O hack do Drift é a prova de conceito mais clara para esse aviso. Os atacantes nunca tocaram no código, visaram os dois humanos que detinham as chaves. A IA não precisa de quebrar um contrato inteligente se conseguir gerar um pretexto suficientemente convincente para enganar um signatário multisig a aprovar uma transação que não compreende totalmente. Guillemet espera que a indústria se divida: sistemas críticos como carteiras e protocolos centrais irão investir fortemente em segurança e adaptar-se, mas grande parte do ecossistema de software mais amplo pode ter dificuldade em acompanhar o ritmo. As suas correções recomendadas, verificação formal usando provas matemáticas, isolamento de hardware para chaves privadas, são estruturalmente sólidas mas requerem um nível de disciplina institucional que a maioria dos protocolos de DeFi / Finanças descentralizadas, incluindo o Drift, ainda não construíram. "Quando se tem um dispositivo dedicado não exposto à internet, é mais seguro por design", disse ele. O Conselho de Segurança do Drift não tinha tal proteção. Duas assinaturas, zero timelock e um token falso foi tudo o que foi preciso.
O Que Acontece a Seguir: Recuperação do Drift e Resposta da Indústria
O que acontece a seguir para o Drift Protocol está longe de ser claro e os sinais iniciais já estão a dividir a indústria. Nas consequências imediatas, Anatoly Yakovenko sugeriu um potencial caminho de recuperação: emitir um Airdrop de tokens estilo IOU para utilizadores afetados, espelhando o manual da Bitfinex de 2016 após o seu hack de $72 milhões.
A ideia é simples — socializar perdas agora, reembolsar utilizadores ao longo do tempo se o protocolo recuperar. Mas o contexto é muito diferente. O TVL do Drift foi cortado quase a metade, depósitos e saques permanecem suspensos, e ao contrário da Bitfinex, carece de um motor de receita centralizado para apoiar essas responsabilidades. Isso levou a uma reação imediata: os tokens IOU, neste caso, correm o risco de se tornarem instrumentos puramente especulativos sem um caminho claro para redenção.
Ao mesmo tempo, a atividade on-chain está a levantar novas preocupações. A Onchain Lens sinalizou que uma carteira ligada à equipa do Drift moveu 56,25 milhões de tokens DRIFT (≈$2,44 milhões) para exchanges centralizadas incluindo Bybit e Gate pouco depois do exploit, um movimento que tipicamente precede pressão de venda e alimentou especulação sobre posicionamento interno durante uma crise de liquidez.
Entretanto, os fundos do atacante já foram transferidos entre cadeias, mais notavelmente para o Ethereum, reduzindo a probabilidade de recuperação significativa a cada dia que passa. A implicação mais ampla é que este incidente não terminará com o Drift. É provável que acelere o escrutínio em toda a indústria em torno da própria governação das DeFi / Finanças descentralizadas, desde padrões de segurança multisig e requisitos de timelock até design de oracle e controlos de execução. O que vem a seguir depende de três variáveis: se o Drift consegue apresentar um plano de recuperação credível, se alguma porção dos fundos pode ser rastreada ou congelada, e se isto finalmente força uma reforma estrutural, ou se torna apenas mais uma lição cara pela qual a indústria passa.
Se está a ler isto, já está à frente. Continue assim com a nossa newsletter.
Source: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
