Na esteira de um grande ataque DeFi, o Drift Protocol iniciou um contato direto sobre o exploit do drift enquanto investigadores rastreiam fundos através de múltiplas blockchains.
Summary
Drift mira carteiras de hackers com mensagens on-chain
Em 3 de abril, o Drift Protocol intensificou sua resposta ao recente hack enviando mensagens on-chain para quatro carteiras Ethereum que detêm a maior parte dos ativos roubados. De acordo com dados da blockchain, esses endereços juntos controlam aproximadamente 129.000 ETH, ligados a um dos maiores exploits DeFi de 2026.
O exploit drenou um valor estimado entre $270 milhões a $285 milhões do protocolo, interrompendo severamente as condições de negociação e liquidez. No entanto, a equipe agora afirma ter identificado partes-chave ligadas ao incidente e está publicamente instando-as a abrir um diálogo em vez de permanecerem em silêncio.
O contato foi feito a partir de um endereço controlado pelo Drift, que transmitiu uma mensagem padronizada para cada uma das quatro carteiras alvo. Além disso, o movimento sinaliza que o protocolo está disposto a explorar resoluções negociadas, um caminho que outros projetos de cripto já tomaram em roubos de grande escala anteriores.
Mensagem solicita comunicação via Blockscan chat
O conteúdo da mensagem foi conciso. Drift disse aos proprietários das carteiras que está “pronto para falar” e solicitou que eles respondessem usando o Blockscan chat, uma ferramenta de comunicação off-chain vinculada a endereços Ethereum. Isso espelha casos anteriores onde projetos atacados buscaram abrir um canal de comunicação com hackers.
Historicamente, tais esforços produziram resultados mistos. Em alguns hacks de alto perfil, o diálogo levou à recuperação parcial ou até total dos ativos, às vezes sob o rótulo de um acordo “white-hat”. Dito isso, em outras situações, os atacantes ignoraram as mensagens e continuaram movendo fundos, deixando as vítimas com pouca esperança de restituição.
Neste caso, equipes de segurança e provedores de análises on-chain também estão examinando se o roubo e as transferências subsequentes mostram padrões associados ao crime cibernético organizado. No entanto, qualquer atribuição potencial permanece não confirmada, e o foco por enquanto é rastrear os fluxos e preservar evidências.
Como o ataque contornou contratos inteligentes
O exploit do drift se destaca porque não se baseou em um bug tradicional de contrato inteligente. Em vez disso, explorou uma fraqueza em nível de sistema em torno dos nonces duráveis do Solana, um recurso legítimo que permite aos desenvolvedores preparar e assinar transações antecipadamente para submissão posterior.
O atacante usou transações pré-assinadas que haviam sido criadas semanas antes, conseguindo então obter controle parcial sobre a configuração de governança multisig do protocolo. Com essa influência, eles desativaram ou contornaram vários controles de risco projetados para proteger os fundos dos usuários. Consequentemente, uma vez que as salvaguardas foram enfraquecidas, o hacker pôde drenar capital de múltiplos cofres em rápida sucessão.
Toda a operação se desenrolou rapidamente, resultando na perda de mais da metade do valor total bloqueado do Drift Protocol. Além disso, o evento destaca como o design de governança e a gestão de chaves podem ser tão críticos quanto o código do contrato na proteção de plataformas DeFi.
Transferências cross-chain e concentração de ETH roubado
Após esvaziar os cofres, o atacante não deixou os ativos no Solana. Em vez disso, usou infraestrutura cross-chain para mover os fundos para o Ethereum, convertendo uma grande parte em ETH. Dados on-chain, destacados por empresas de análise como a Arkham, mostram aproximadamente 129.000 ETH agora distribuídos em quatro carteiras principais.
Esse padrão se encaixa em uma tendência mais ampla onde atacantes usam fundos cruzados por ponte para complicar o rastreamento e a recuperação. No entanto, tais movimentos também criam concentrações de valor altamente visíveis que podem ser monitoradas em tempo real por exchanges, autoridades e pesquisadores independentes.
Apesar do monitoramento ativo, houve críticas de alguns membros da comunidade sobre o que consideram uma resposta operacional lenta. Especificamente, os usuários questionaram por que certos tokens ou posições não foram congelados mais cedo ou protegidos de forma mais agressiva uma vez que a atividade anômala de governança foi detectada.
Suspeitas de crime organizado e investigação em andamento
Vários observadores da indústria especularam sobre possíveis ligações entre o atacante e organizações conhecidas de cibercrime, especialmente dada a sofisticação da tomada de controle da governança e do planejamento das transações. Dito isso, declarações públicas do Drift e de equipes de segurança externas enfatizam que ainda não há uma atribuição definitiva.
As autoridades e grupos privados de resposta a incidentes estão supostamente coordenando para seguir o rastro da mensagem on-chain da blockchain e os fluxos do ETH roubado. Além disso, os investigadores estão examinando a atividade histórica nas carteiras impactadas para ver se transações mais antigas se conectam a entidades previamente sinalizadas.
Por enquanto, o Drift se comprometeu a liberar mais informações assim que auditorias de terceiros e revisões forenses forem concluídas. Os canais sociais do protocolo, incluindo sua conta oficial no X, têm sido usados para agregar atualizações e referenciar transações on-chain chave para a comunidade.
Impacto no Drift, token DRIFT e liquidez DeFi
As consequências se estendem além das perdas imediatas do protocolo. Dados recentes indicam que quase 20 projetos DeFi interconectados sofreram efeitos colaterais do incidente. Alguns protocolos pausaram temporariamente serviços ou restringiram certas operações para prevenir potencial contágio e gerenciar o impacto na liquidez DeFi.
O token nativo DRIFT reagiu fortemente, registrando uma queda acentuada à medida que as notícias do exploit e da comprometimento da governança se espalharam. A confiança do mercado em produtos de alavancagem e derivativos no Solana também foi afetada, refletindo reavaliações de risco mais amplas por traders profissionais e de varejo.
No entanto, é importante notar que a camada base do Solana continua a funcionar normalmente. A violação ocorreu no nível de aplicação e governança, não devido a uma falha de consenso ou protocolo. Essa distinção é importante para a percepção de longo prazo do ecossistema e para investidores que avaliam o risco de contratos inteligentes.
Lições para design de governança e segurança
O ataque destaca como mesmo códigos bem revisados podem ser minados por fraquezas em estruturas de governança, compartilhamento de chaves e processos operacionais. Neste caso, o comprometimento parcial da governança multisig permitiu que o atacante utilizasse transações previamente assinadas e recursos legítimos do protocolo.
Especialistas em segurança argumentam que políticas de rotação de chaves mais robustas, controles de acesso mais rígidos e monitoramento em tempo real das ações de governança poderiam ter limitado os danos. Além disso, manuais de incidentes mais claros e disjuntores automáticos podem ajudar protocolos a reagirem mais rapidamente quando mudanças anormais em permissões ou comportamento de cofres ocorrem.
À medida que a investigação sobre o exploit do Drift Protocol continua, o caso provavelmente se tornará um ponto de referência para frameworks de risco e revisões de segurança em todo o DeFi. Em resumo, o incidente sublinha que auditorias de código por si só não são suficientes; governança resiliente, gestão de chaves e monitoramento cross-chain são essenciais para prevenir perdas em larga escala semelhantes.
