#DriftProtocolHacked #DriftProtocolHacked

Um ataque sofisticado envolvendo colateral falso, transações pré-assinadas e táticas do Grupo Lazarus da Coreia do Norte eliminou mais da metade do TVL da Drift em 1 de abril de 2026.

O Ataque em Resumo

Em 1 de abril de 2026, a maior DEX de futuros perpétuos da Solana, Drift Protocol, sofreu uma exploração catastrófica resultando na perda de $286 milhões em múltiplas cofres de ativos.

O que torna este ataque particularmente alarmante é que não envolveu uma vulnerabilidade de contrato inteligente ou frases-semente comprometidas. Em vez disso, os atacantes executaram uma operação meticulosamente planeada combinando:

· Engenharia social de signatários multisig
· Transações pré-assinadas com nonce durável
· Criação de colateral falso avaliada em $0 manipulada para parecer mais de $100M+
· Remoção das proteções de timelock

O TVL colapsou de aproximadamente $550 milhões para menos de $250 milhões em uma hora. O token DRIFT caiu 45%, atingindo perto de $0.04.

---

Linha do Tempo: Uma Operação de 3 Semanas

Fase 1: Configuração da Infraestrutura (11-23 de março)

A operação começou em 11 de março, quando o atacante retirou ETH do Tornado Cash, o protocolo de privacidade. Em 12 de março, eles implantaram o Token CarbonVote (CVT) — notavelmente por volta das 09:00, horário de Pyongyang, um sinal de alerta que mais tarde ligaria o ataque à Coreia do Norte.

Nas semanas seguintes, o atacante:

· Cunhou 750 milhões de tokens CVT ( avaliados essencialmente em $0)
· Injetou liquidez mínima (~$500) na Raydium DEX
· Utilizou wash trading para manter artificialmente o preço do CVT próximo de $1.00
· Criou 4 contas de nonce durável — 2 vinculadas aos signatários do Conselho de Segurança da Drift, 2 sob controle do atacante

Fase 2: Pré-Assinatura & Comprometimento Multisig (23-30 de março)

Usando o recurso de nonce durável do Solana (que permite que transações sejam pré-assinadas e executadas posteriormente sem expiração), o atacante induziu membros do Conselho de Segurança da Drift a pré-assinar o que parecia ser transações rotineiras — mas que na verdade eram chaves de autorização maliciosas mantidas em reserva.

Em 27 de março, a Drift realizou uma migração de multisig agendada, passando para um limite de assinatura de 2 de 5 e — criticamente — removendo completamente o timelock. Um timelock normalmente força atrasos de 24-72 horas em ações administrativas, dando tempo às comunidades para responder. Sem ele, o atacante tinha autoridade de execução sem atraso.

Até 30 de março, o atacante restabeleceu o acesso a 2 de 5 signatários na nova estrutura multisig.

Fase 3: Execução — 12 Minutos até $286M (1 de abril)

Hora (UTC) Ação
16:05:39 O atacante ativa transações pré-assinadas, lista CVT como colateral válido, aumenta limites de retirada para ~500 trilhões (efetivamente infinito)
16:05:41 Deposita 500 milhões de tokens CVT — valores oraculares manipulados avaliam isso em $100M+
16:05:43-16:17 31 transações de retirada drenam ativos reais: JLP, USDC, SOL, cbBTC, wETH e mais

Toda a armação levou menos tempo do que pedir um café.

O ataque agrupou três ações críticas em uma única transação:

1. Inicializar o mercado spot de CVT com oráculo Switchboard controlado pelo atacante
2. Definir o peso do colateral de CVT ao máximo — tokens sem valor tratados como colateral principal
3. Desativar as proteções de retirada — removendo todos os limites de saída de ativos

#DriftProtocolHacked

O que Foi Roubado

O atacante esvaziou múltiplos cofres em todo o protocolo:

Ativo Quantidade Roubada (aprox.)
Tokens JLP $155,6 milhões
USDC $60,4 milhões
cbBTC $11,3 milhões
USDS $5,3 milhões
FARTCOIN $4,1 milhões
WBTC $4,4 milhões
WETH $4,7 milhões
JitoSOL $3,6 milhões
SYRUPUSDC $3,3 milhões
INF $2,5 milhões
MSOL $2,0 milhões

Fonte: Dados on-chain via @officer_secret

O cofre JLP foi completamente esvaziado.
#DriftProtocolHacked

Quem Está por Trás do Ataque?

Empresas de segurança Elliptic e TRM Labs atribuíram o ataque a atores de ameaça ligados à DPRK (Coreia do Norte), especificamente ao Grupo Lazarus.

Evidências de atribuição incluem:

· Origem Tornado Cash para a fase inicial
· Timestamp de implantação do CVT coincidindo com o horário comercial de Pyongyang (09:00)
· Táticas sofisticadas de engenharia social — idênticas ao hack do bridge Ronin em 2022
· Velocidade de lavagem pós-hack e padrões cross-chain
· Uso de Nonces Duráveis — consistente com a tradecraft da DPRK

"Esta foi uma operação altamente sofisticada que parece ter envolvido preparação de várias semanas e execução staged, incluindo o uso de contas de nonce durável para pré-assinar transações que atrasaram a execução."
— Declaração oficial do Drift Protocol

Se confirmada, esta marca o 18º roubo de criptomoedas ligado à DPRK em 2026, com mais de $300 milhões roubados só neste ano. Atores norte-coreanos estimam-se ter roubado mais de $6,5 bilhões em cripto#DriftProtocolHacked