285 milhões foram drenados em 12 minutos, não por causa de uma falha, mas porque o sistema confiou mais nos humanos do que deveria.

Em 1 de abril de 2026, o Drift Protocol, a maior DEX perpétua na Solana, foi explorada por $285M. O protocolo tinha cerca de $550M em valor total bloqueado antes do ataque, e mais da metade disso foi efetivamente apagada em minutos.

A parte importante é esta: nada foi quebrado a nível de código. Não houve bug no contrato inteligente. O sistema comportou-se exatamente como foi projetado.

Os atacantes passaram aproximadamente seis meses a construir acesso. Aproximaram-se de colaboradores no final de 2025, disfarçados de uma firma de trading legítima, participaram de conferências reais, tiveram discussões técnicas e até implantaram mais de $1M na ecosystem para parecerem credíveis. Com o tempo, ganharam confiança e introduziram ferramentas maliciosas através de repositórios de código partilhados e aplicações falsas. Isso permitiu-lhes comprometer os dispositivos de colaboradores ligados à governança.

A partir daí, focaram-se na camada de governança em vez do código.

O Drift usou uma multisig 2-de-5 sem timelock, o que significa que qualquer dois signatários podiam aprovar ações administrativas instantaneamente. Os atacantes exploraram isso ao fazerem com que os signatários aprovassem transações antecipadamente usando uma funcionalidade do Solana chamada nonces duráveis, que permite que uma transação assinada permaneça válida indefinidamente. Essas aprovações foram recolhidas semanas antes do exploit e não podiam ser revogadas posteriormente.

Ao mesmo tempo, os atacantes criaram um token falso chamado CVT. Mintaram 750 milhões de tokens, adicionaram liquidez mínima e usaram wash trading para fazer parecer uma verdadeira $1 . O sistema de oráculos do protocolo aceitou esse preço como válido porque não havia verificações rígidas de liquidez ou validação.

Quando tudo estava pronto, a execução levou cerca de 12 minutos.

Usaram as transações pré-aprovadas para assumir o controlo da governança, listaram o token falso como colateral, manipularam o seu preço através do seu próprio oráculo e aumentaram os limites de retirada para remover efetivamente todos os controlos de risco. Depois, depositaram o colateral falso e tomaram emprestado ativos reais contra ele em múltiplas vaults.

Um total de 31 transações drenaram cerca de $285 milhões em ativos, incluindo USDC, ETH, tokens baseados em SOL e outros.

Em poucas horas, os fundos foram transferidos entre cadeias. Os atacantes trocaram ativos por USDC, fizeram ponte para Ethereum através de mais de 100 transações, converteram em cerca de 129.000 ETH e dividiram os fundos por várias carteiras.

O ataque foi ligado ao Lazarus Group, que roubou mais de $200M de ecossistemas cripto nos últimos anos.

Este não foi uma falha da tecnologia blockchain. Foi uma falha do design de governança, da confiança humana.

Foi uma combinação de:

• Engenharia social a longo prazo
• Acesso de governança pré-aprovado
• Colateral falso que passou nas verificações do sistema
• Execução imediata sem salvaguardas de atraso