Exploração de Drift promove contacto na cadeia para $280M ETH roubados após ataque Solana–Ethereum

Na sequência de um grande ataque DeFi, o Drift Protocol começou um contacto direto sobre o exploit do drift, enquanto os investigadores rastreiam fundos através de múltiplas blockchains.

Drift mira carteiras de hackers com mensagens on-chain

A 3 de abril, o Drift Protocol intensificou a sua resposta ao ataque recente, enviando mensagens on-chain para quatro carteiras Ethereum que detêm a maior parte dos ativos roubados. Segundo dados de blockchain, estes endereços, em conjunto, controlam aproximadamente 129,000 ETH, associados ao que se tornou um dos maiores exploits DeFi de 2026.

O exploit drenou uma estimativa de $270 milhões a $285 milhões do protocolo, perturbando severamente as condições de negociação e liquidez. No entanto, a equipa agora afirma ter identificado partes-chave ligadas ao incidente e está a instigá-las publicamente a abrir um diálogo em vez de permanecerem em silêncio.

O contacto foi feito a partir de um endereço controlado pelo Drift conhecido, que transmitiu uma mensagem padronizada para cada uma das quatro carteiras visadas. Além disso, o movimento sinaliza que o protocolo está disposto a explorar resoluções negociadas, um caminho que outros projetos cripto já seguiram em roubos de larga escala anteriores.

Mensagem apela a comunicação via chat Blockscan

O conteúdo da mensagem foi conciso. A Drift disse aos proprietários da carteira que está “pronta para falar” e pediu que respondessem usando o chat Blockscan, uma ferramenta de comunicação off-chain associada a endereços Ethereum. Isto reflete casos anteriores em que projetos atacados procuraram abrir um canal de comunicação com hackers.

Historicamente, esses esforços produziram resultados mistos. Em alguns hacks de grande destaque, o diálogo levou à recuperação parcial ou até total de ativos, por vezes sob o rótulo de um acordo “white-hat”. Dito isto, em outras situações, os atacantes ignoraram as mensagens e continuaram a mover fundos, deixando as vítimas com poucas esperanças de reembolso.

Neste caso, equipas de segurança e fornecedores de analítica on-chain também estão a analisar se o roubo e as transferências subsequentes mostram padrões associados a crime cibernético organizado. No entanto, qualquer atribuição potencial permanece não confirmada, e o foco, por agora, é rastrear fluxos e preservar evidência.

Como o ataque contornou contratos inteligentes

O exploit do drift destaca-se porque não recorreu a um bug tradicional de contrato inteligente. Em vez disso, explorou uma fraqueza a nível de sistema em torno de durable nonces da Solana, um recurso legítimo que permite aos programadores preparar e assinar transações com antecedência para submissão posterior.

O atacante usou transações pré-assinadas, criadas semanas antes, e depois conseguiu obter controlo parcial da configuração de governação multisig do protocolo. Com essa influência, desativou ou contornou vários controlos de risco concebidos para proteger os fundos dos utilizadores. Consequentemente, assim que as salvaguardas foram enfraquecidas, o hacker conseguiu drenar capital de múltiplos vaults de forma rápida e em sucessão.

Toda a operação decorreu rapidamente, resultando na perda de mais de metade do valor total bloqueado do Drift Protocol. Além disso, o evento sublinha o quão crítica pode ser a conceção de governação e a gestão de chaves, tanto quanto o código de contratos inteligentes, na salvaguarda de plataformas DeFi.

Transferências entre cadeias e concentração de ETH roubado

Depois de esvaziar os vaults, o atacante não deixou os ativos na Solana. Em vez disso, usou infraestruturas entre cadeias para mover os fundos para a Ethereum, convertendo uma grande parcela em ETH. Dados on-chain, destacados por empresas de analítica como Arkham, mostram aproximadamente 129,000 ETH agora distribuídos por quatro carteiras-chave.

Este padrão encaixa-se numa tendência mais alargada em que os atacantes usam fundos bridged entre cadeias para complicar o rastreio e a recuperação. No entanto, esses movimentos também criam concentrações de valor altamente visíveis, que podem ser acompanhadas em tempo real por bolsas, forças de segurança e investigadores independentes.

Apesar do acompanhamento ativo, tem havido críticas de alguns membros da comunidade sobre o que consideram uma resposta operacional lenta. Em particular, os utilizadores questionaram por que razão certos tokens ou posições não foram congelados mais cedo ou protegidos com hedge de forma mais agressiva assim que foi detetada atividade anómala de governação.

Suspeitas de crime organizado e investigação em curso

Vários observadores da indústria especularam sobre possíveis ligações entre o atacante e organizações conhecidas de cibercrime, especialmente tendo em conta a sofisticação da tomada de governação e do planeamento das transações. Dito isto, declarações públicas do Drift e de equipas externas de segurança salientam que ainda não existe uma atribuição definitiva.

Segundo relatos, as forças de segurança e grupos privados de resposta a incidentes estão a coordenar-se para seguir o rasto on-chain da mensagem e os fluxos do ETH roubado. Além disso, os investigadores estão a examinar a atividade histórica nas carteiras afetadas para ver se transações mais antigas se ligam a entidades anteriormente sinalizadas.

Por agora, o Drift comprometeu-se a divulgar mais informação assim que as auditorias de terceiros e as análises forenses estiverem concluídas. Os canais sociais do protocolo, incluindo a sua conta oficial X, foram usados para agregar atualizações e referenciar transações on-chain-chave para a comunidade.

Impacto no Drift, no token DRIFT, e na liquidez DeFi

As consequências estendem-se para além das perdas imediatas do protocolo. Dados recentes indicam que quase 20 projetos DeFi interligados sofreram efeitos secundários do incidente. Alguns protocolos suspenderam temporariamente serviços ou restringiram certas operações para prevenir possível contágio e gerir o impacto na liquidez DeFi.

O token nativo DRIFT reagiu de forma acentuada, registando uma queda acentuada à medida que a notícia do exploit e da rutura de governação se espalhou. A confiança do mercado na alavancagem e em produtos de derivados na Solana também sofreu um golpe, refletindo reavaliações mais amplas de risco por traders profissionais e de retalho.

Ainda assim, é importante notar que a camada base da Solana continua a funcionar normalmente. A violação ocorreu ao nível da aplicação e da governação, não devido a uma falha de consenso ou de protocolo. Esta distinção importa para a perceção de longo prazo do ecossistema e para investidores que avaliam o risco de contratos inteligentes.

Lições para governação e design de segurança

O ataque evidencia como até código bem revisto pode ser minado por fraquezas em estruturas de governação, partilha de chaves e processos operacionais. Neste caso, a rutura parcial da governação multisig permitiu ao atacante transformar transações previamente assinadas e funcionalidades legítimas do protocolo em armas.

Especialistas em segurança argumentam que políticas de rotação de chaves mais robustas, controlos de acesso mais apertados e monitorização em tempo real das ações de governação poderiam ter limitado os danos. Além disso, playbooks de incidentes mais claros e circuit breakers automatizados poderiam ajudar os protocolos a reagir mais rapidamente quando ocorrem alterações anormais de permissões ou do comportamento dos vaults.

À medida que a investigação ao exploit do Drift Protocol continua, o caso é provável que se torne um ponto de referência para frameworks de risco e revisões de segurança em toda a DeFi. Em resumo, o incidente sublinha que auditorias ao código, por si só, não bastam; uma governação resiliente, a gestão de chaves e a monitorização entre cadeias são essenciais para prevenir perdas de larga escala semelhantes.