O Drift Protocol, maior exchange descentralizada de futuros perpétuos da Solana, sofreu um hack de US$ 286 milhões em 1º de abril — o maior ataque DeFi de 2026. A empresa de análise blockchain Elliptic apontou múltiplos indicadores ligando o ataque a hackers estatais da Coreia do Norte (DPRK), incluindo técnicas de lavagem cross-chain idênticas a operações anteriores do grupo.
O Drift Protocol, principal exchange descentralizada de futuros perpétuos da blockchain Solana, foi atacado em 1º de abril de 2026, com hackers drenando aproximadamente US$ 286 milhões em ativos. A firma de análise blockchain Elliptic divulgou nesta quinta-feira um relatório apontando “múltiplos indicadores” que ligam o ataque ao grupo de hackers estatais norte-coreanos, o DPRK.
Se confirmado, o incidente seria a 18ª operação DPRK rastreada pela Elliptic em 2026, com mais de US$ 300 milhões roubados apenas neste ano. O ataque é o maior hack DeFi de 2026 e o segundo maior incidente de segurança no ecossistema Solana, atrás apenas do exploit na bridge Wormhole em 2022, que resultou em US$ 326 milhões roubados.
Como o ataque foi executado
De acordo com a empresa de segurança PeckShield, a causa preliminar foi o comprometimento das chaves privadas administrativas do protocolo, que deram ao atacante acesso privilegiado para iniciar saques e alterar controles administrativos.
O atacante drenou sistematicamente três cofres principais da Drift em menos de uma hora:
- JLP Delta Neutral — maior transferência, cerca de 41,7 milhões de tokens JLP (≈ US$ 155 milhões)
- SOL Super Staking
- BTC Super Staking
Outros ativos roubados incluíram USDC, SOL, cbBTC, wBTC, liquid staking tokens e outros — mais de 15 tipos de tokens no total. O TVL (Total Value Locked) do Drift despencou de aproximadamente US$ 550 milhões para menos de US$ 250 milhões após o ataque. O token DRIFT caiu mais de 40%, para cerca de US$ 0,06.
https://x.com/DriftProtocol/status/2039564437795836039
A assinatura da Coreia do Norte
A análise da Elliptic identificou um padrão operacional familiar. A atividade aponta para uma operação “premeditada e cuidadosamente planejada” — a carteira do atacante foi criada oito dias antes do exploit e recebeu pequenas transferências de teste de um cofre da Drift durante esse período.
Após drenar os cofres, o atacante usou um agregador DEX na Solana para trocar rapidamente os tokens roubados por USDC. Em seguida, fez bridge desses fundos para a blockchain Ethereum e converteu em ETH — um fluxo estruturado de lavagem cross-chain projetado para obscurecer a origem dos ativos.
“É uma continuação da campanha sustentada da DPRK de roubo em grande escala de criptoativos, que o governo dos EUA vinculou ao financiamento de seus programas de armas”, afirmou a Elliptic em seu relatório. O grupo DPRK é apontado como responsável por mais de US$ 6,5 bilhões em roubos de criptoativos nos últimos anos.
Em dezembro de 2025, um relatório da Chainalysis revelou que hackers norte-coreanos roubaram um recorde de US$ 2 bilhões em 2025, incluindo o ataque à Bybit de US$ 1,4 bilhão — alta de 51% em relação ao ano anterior. O Departamento do Tesouro dos EUA afirmou que a Coreia do Norte usa os ativos roubados para financiar seu programa de armas de destruição em massa.
O ataque ao Drift acontece também no contexto de uma escalada mais ampla de atividades DPRK, incluindo um recente comprometimento da supply chain do pacote npm Axios, atribuído ao grupo de ameaça UNC1069 da DPRK, segundo o Google.
Desafios de rastreamento no ecossistema Solana
A Elliptic destacou que a arquitetura da Solana representa um desafio específico para investigadores. Por armazenar cada ativo em uma conta de token separada, a atividade de um único ator pode aparecer fragmentada em múltiplos endereços. Sem vincular essas contas, investigadores veem “fragmentos da atividade do atacante, não o quadro completo”.
Isso torna o rastreamento cross-chain ainda mais crítico — especialmente em incidentes envolvendo mais de 15 tipos de ativos em diferentes vaults.
O incidente reforça o alerta que temos visto repetidamente em 2026: protocolos DeFi com chaves administrativas centralizadas continuam sendo o elo mais fraco da segurança on-chain. Como já reportamos, a Coreia do Norte mantém equipes especializadas em ataques a infraestruturas crypto, com operações cada vez mais sofisticadas e preemeditadas.
O Drift Protocol afirmou que está coordenando com múltiplas empresas de segurança, bridges cross-chain e exchanges para conter o incidente.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
