Como hackers de nível nacional invadiram o DeFi? Investigação aprofundada do incidente de hacking do Drift

A prioridade dos ataques em incidentes de segurança cripto está a mudar drasticamente do nível do código para a camada de confiança humana.

Em 1 de abril de 2026, a principal plataforma de derivados descentralizados da Solana, o Drift Protocol, foi alvo de um ataque, com prejuízo de cerca de 285 milhões de dólares. A quantidade total bloqueada na plataforma (TVL) caiu abruptamente de cerca de 550 milhões de dólares antes do incidente para cerca de 230 milhões de dólares. A investigação preliminar posteriormente divulgada pela Drift confirmou que a ação foi planeada pela organização de hackers UNC4736, associada ao Governo da Coreia do Norte, e que se trata de uma “operação estruturada de recolha de informações com duração de 6 meses”.

A mudança revelada por esta conclusão vai muito além de um único incidente de segurança: quando atores estatais deslocam o foco do ataque de descoberta de falhas no código para uma infiltração de confiança interpessoal prolongada por meses, todo o paradigma de segurança do setor DeFi está a ser reescrito de forma sistemática. O ataque já não precisa de vulnerabilidades complexas em contratos inteligentes nem de roubo de chaves privadas — basta uma relação paciente, uma identidade cuidadosamente disfarçada e tempo suficiente.

Qual é o mecanismo de funcionamento do ataque?

O plano de ação da UNC4736 revela disciplina organizacional e investimento de recursos muito acima do habitual de grupos de hackers comuns. Desde o outono de 2025, indivíduos disfarçados de empresas de trading quantitativo contactaram proativamente contribuintes do Drift em várias conferências internacionais de cripto. Esses indivíduos falavam fluentemente a parte técnica, tinham um histórico profissional verificável e conheciam o modo de funcionamento do Drift. É particularmente relevante que as pessoas abordadas presencialmente não eram cidadãos da Coreia do Norte, mas sim intermediários terceiros identificados como tendo sido implantados por um agente de ameaça da Coreia do Norte.

Após a criação de confiança, o grupo instalou-se, entre dezembro de 2025 e janeiro de 2026, num cofre de tesouraria (treasury) no ecossistema do Drift, depositando efetivamente mais de 1 milhão de dólares das suas próprias verbas para estabelecer credibilidade. Durante esse processo, mantiveram discussões detalhadas e profissionais sobre questões de produto com vários contribuintes.

A intrusão técnica foi concretizada por duas vias: um contribuinte foi comprometido ao clonar um repositório de código malicioso. Esse repositório explorava falhas continuamente sinalizadas pela comunidade de segurança em editores como o VSCode e o Cursor — bastava abrir um ficheiro, uma pasta ou um repositório no editor para executar silenciosamente qualquer código, sem qualquer aviso ou clique por parte do utilizador; no outro caso, um contribuinte foi induzido a descarregar uma aplicação de carteira falsa através da plataforma TestFlight da Apple. Depois de obter permissões internas, o atacante utilizou a funcionalidade nativa da Solana Durable Nonce para pré-assinar transações e, após aprovação num esquema de multi-assinatura, executou instantaneamente a operação de limpeza.

Que custo é que este tipo de ataque acarreta?

O custo exposto pelo incidente Drift é multidimensional, indo muito além da perda contabilística de 285 milhões de dólares.

O custo mais direto manifesta-se na perda de fundos e no impacto no mercado. Este ataque foi o maior incidente de segurança DeFi até então em 2026 e o segundo maior incidente de segurança na história do ecossistema Solana. Após o incidente, o preço do token DRIFT chegou a cair mais de 90% em relação ao máximo histórico.

Ainda mais preocupante é o efeito de disseminação do ataque. As plataformas afetadas pelo incidente de falha do Drift aumentaram de 11 inicialmente para mais de 20. Entre as novas incluem-se protocolos como PiggyBank, Perena, Vectis e Prime Numbers Fi; em alguns casos, funções como cunhagem (mint), resgate (redeem) ou depósitos/levantamentos foram suspensas. Após o protocolo de empréstimos descentralizados Project 0 suspender a operação, iniciou um processo de desalavancagem; os ativos dos mutuários foram reduzidos em média em 2,61%.

O custo mais profundo — e também o mais difícil de quantificar — é o abalo da base de confiança de segurança no setor DeFi. Depois do incidente, a Drift salientou que todos os membros multi-sig utilizam carteiras frias, mas ainda assim foi impossível impedir o ataque. Isto indica que, quando o ataque é direcionado ao nível humano, mesmo uma gestão rigorosa por hardware pode ser contornada. Se os atacantes atuarem durante meio ano com o “disfarce” de uma organização real, investirem capital, participarem no ecossistema, o sistema de segurança existente é quase incapaz de detetá-los.

O que significa isto para o panorama do setor DeFi?

O incidente Drift está a forçar toda a indústria a reexaminar uma questão fundamental: as suposições de segurança da finança descentralizada continuam a ser válidas?

Uma reflexão importante da indústria foca-se em vulnerabilidades estruturais no sistema de confiança de intermediários terceiros. O percurso do ataque da UNC4736 revela que o ecossistema DeFi atual carece de mecanismos para uma auditoria de segurança sistémica e monitorização contínua de novos parceiros. Aquelas ações consideradas normais na indústria — contactos em conferências, comunicação em mensageiros instantâneos e entrada num cofre do ecossistema — constituem, precisamente, a melhor cobertura para uma infiltração por hackers de nível estatal.

Outra controvérsia que não pode ser ignorada surge na etapa de recuperação de fundos. Investigadores on-chain apontaram que os atacantes, através de protocolos de transferência cross-chain, transferiram cerca de 232 milhões de dólares em USDC da ponte Solana para a Ethereum. No entanto, o emissor da stablecoin tinha uma janela de aproximadamente 6 horas para congelar essa parcela, mas não tomou qualquer ação. Esta controvérsia toca num problema institucional mais profundo: quando a defesa de segurança do próprio protocolo DeFi falha, confiar numa resposta de conformidade dependente de emissores centralizados de stablecoins para “preencher” essa falha — será que este modelo híbrido é sustentável? E qual é o limite de ação das entidades em conformidade quando enfrentam grandes movimentos de capital?

Como é que pode evoluir no futuro?

Pelos progressos atuais da investigação e pelas reações da indústria, já se verificam várias tendências para o futuro.

O orçamento de segurança será reavaliado de forma sistemática. Em 2025, as perdas globais de segurança cripto já ultrapassaram 3,4 mil milhões de dólares. No domínio Web3, foram registados 89 incidentes de segurança confirmados em 2025, com perdas totais de 2,54 mil milhões de dólares. Num contexto de ataques a nível estatal que se estão a tornar cada vez mais comuns, estratégias baseadas apenas em auditorias de código e testes de segurança já serão insuficientes. Prevê-se que mais protocolos vão alocar recursos adicionais em formação de segurança operacional, simulações de defesa contra engenharia social e processos de verificação de antecedentes.

A propagação de riscos entre protocolos passará a ser uma nova dimensão de preocupação de segurança. O efeito em cadeia do incidente Drift, que atingiu mais de 20 protocolos, demonstra que a composabilidade do DeFi é uma faca de dois gumes do ponto de vista da segurança. No futuro, poderão surgir dois tipos de abordagem: em primeiro lugar, isolamento de dependências e hierarquias de segurança ao nível do protocolo; em segundo lugar, construção, ao nível da indústria, de mecanismos unificados de resposta a incidentes e partilha de informação.

O limite entre regulamentação e conformidade continuará a ser alvo de disputa. Os padrões de atuação dos emissores de stablecoins em incidentes semelhantes tornar-se-ão um foco central dos debates regulatórios, podendo originar um quadro de resposta urgente para fluxos de ativos cripto transfronteiriços.

Quais riscos potenciais ainda estão dentro da zona de alerta?

Apesar de o Drift ter congelado todas as funcionalidades dos protocolos e de ter retirado as carteiras afetadas das multi-assinaturas, ainda existem várias dimensões de risco que merecem atenção contínua.

A irreversibilidade da recuperação de fundos. Após implementarem o roubo, os atacantes apagaram rapidamente registos de mensagens instantâneas e o malware, e os fundos on-chain foram transferidos via ponte cross-chain para a rede Ethereum. As organizações de hackers da Coreia do Norte historicamente dispõem de redes sofisticadas de branqueamento de capitais e de capacidades de cross-chain para mistura; a maior parte do dinheiro roubado pode já ter entrado em canais difíceis de recuperar.

Competição assimétrica em capacidades de segurança. Organizações de hackers a nível estatal têm recursos organizacionais, apoio financeiro contínuo e divisão do trabalho especializada, enquanto a grande maioria dos protocolos DeFi funciona com equipas pequenas, com recursos de segurança limitados. Esta assimetria está a ser explorada de forma sistemática pelos atacantes. As identidades usadas por esses atacantes foram construídas com um percurso profissional completo, credenciais de identidade públicas e redes sociais profissionais, conseguindo resistir a auditorias normais durante colaborações comerciais.

Fadiga de confiança como travão à inovação na indústria. Se cada nova introdução de parceiro exigir uma verificação de segurança rigorosa e monitorização contínua, a vantagem central do DeFi — a abertura e a composabilidade — ficará em risco de ser corroída. Encontrar um equilíbrio entre defesa de segurança e eficiência operacional é o dilema que a indústria terá de resolver.

Resumo

O ataque ao Drift revelou uma realidade há muito ignorada: as ameaças de segurança no setor DeFi completaram uma transição de geração. Da exploração de falhas em contratos inteligentes ao roubo de chaves privadas, e agora, a infiltração de engenharia social a nível estatal com duração de 6 meses, a velocidade de evolução tática dos atacantes ultrapassa claramente a velocidade de iteração dos sistemas de defesa. Quando o atacante já não precisa de quebrar o código, mas apenas de quebrar a confiança de uma pessoa, a eficácia das ferramentas de segurança tradicionais — multi-sig, carteiras frias, isolamento por hardware — é novamente questionada.

O setor precisa não apenas de auditorias de código mais completas e de controlos de acesso mais rigorosos, mas também de um pensamento de segurança totalmente novo: tratar a “confiança humana” como uma superfície de ataque igualmente importante que o “código de contrato inteligente”. Desde a verificação de antecedentes até à cultura de segurança operacional, desde a monitorização contínua de parceiros do ecossistema até à coordenação cross-protocol de mecanismos de resposta a emergências, cada etapa precisa de ser redefinida. Na nova normalidade da segurança cripto, em que forças estatais entram em cena, nenhum protocolo consegue ficar imune — a cadeia de defesa de segurança de toda a indústria só consegue atingir a força do seu elo mais fraco.

FAQ

P: A UNC4736 é a mesma organização que a Lazarus?

A UNC4736 é um identificador usado por empresas de segurança para rastrear agentes de ameaça associados ao Governo da Coreia do Norte. Existe interseção com o mais conhecido Lazarus Group, mas não é totalmente equivalente. A UNC4736 é considerada como a execução, no setor das criptomoedas, de tarefas de obtenção de receitas de base mais contínuas, com foco na infiltração persistente de objetivos pequenos a médios.

P: Porque é que o Drift, usando multi-sig, ainda não conseguiu impedir o ataque?

Os atacantes não roubaram diretamente as chaves privadas do multi-sig. Em vez disso, obtiveram permissões de aprovação do multi-sig por meio de engenharia social, e depois utilizaram a funcionalidade Solana Durable Nonce para pré-assinar transações; uma vez obtidas permissões suficientes, executaram instantaneamente. Isto mostra que a premissa de segurança do mecanismo multi-sig é que os signatários não sejam manipulados por métodos de engenharia social.

P: Este ataque envolveu vulnerabilidades em contratos inteligentes?

Não envolve. A confirmação oficial da Drift indica que o núcleo deste ataque foi a infiltração por engenharia social e o abuso da funcionalidade Durable Nonce, em vez de falhas tradicionais no código de contratos inteligentes.

P: Que medidas é que a Drift tomou após o incidente?

A Drift congelou todas as funcionalidades dos protocolos, removeu as carteiras afetadas das multi-assinaturas e convidou empresas de segurança para participar numa investigação forense profunda. A equipa do protocolo indicou que está a colaborar com as autoridades responsáveis pela aplicação da lei, tentando rastrear os fundos roubados.