O foco dos incidentes de segurança em criptoativos está a deslocar-se rapidamente das vulnerabilidades ao nível do código para a camada humana da confiança.
A 1 de abril de 2026, a Drift Protocol—uma das principais plataformas descentralizadas de derivados no ecossistema Solana—foi alvo de um ataque que resultou em perdas de aproximadamente 285 milhões $. O valor total bloqueado (TVL) da plataforma caiu de cerca de 550 milhões $ antes do incidente para aproximadamente 230 milhões $ após o mesmo. A investigação preliminar da Drift confirmou que a operação foi orquestrada pelo grupo de hackers UNC4736, associado ao governo norte-coreano, descrevendo-a como uma "operação de inteligência estruturada ao longo de seis meses".
Esta conclusão assinala uma transformação que vai muito além de uma simples violação de segurança. Quando hackers patrocinados por Estados-nação deixam de explorar vulnerabilidades de código para se infiltrarem, durante meses, nas relações de confiança interpessoais, todo o paradigma de segurança da indústria DeFi está a ser sistematicamente reescrito. Os ataques já não exigem explorações complexas de smart contracts ou roubo de chaves privadas—basta-lhes uma relação paciente, uma identidade cuidadosamente construída e tempo suficiente.
Como Funcionou o Ataque?
A operação do UNC4736 demonstrou um nível de organização e alocação de recursos muito superior ao dos grupos de hackers convencionais. A partir do outono de 2025, indivíduos que se faziam passar por representantes de uma empresa de trading quantitativo abordaram proativamente colaboradores da Drift em várias conferências internacionais de criptomoedas. Estes indivíduos apresentavam competências técnicas, currículos profissionais verificáveis e profundo conhecimento das operações da Drift. Importa salientar que os contactos presenciais não eram cidadãos norte-coreanos, mas sim intermediários terceirizados destacados por agentes do regime norte-coreano.
Após estabelecerem uma relação de confiança, o grupo juntou-se ao tesouro da comunidade Drift entre dezembro de 2025 e janeiro de 2026, tendo depositado mais de 1 milhão $ de fundos próprios para reforçar a credibilidade. Durante este período, participaram em discussões detalhadas e profissionais sobre questões do produto com diversos colaboradores.
A violação técnica ocorreu através de dois vetores. Um colaborador foi comprometido após clonar um repositório de código malicioso que explorava vulnerabilidades conhecidas nos editores VSCode e Cursor—falhas que a comunidade de segurança já tinha reiteradamente sinalizado. Bastava abrir um ficheiro, pasta ou repositório no editor para que código arbitrário fosse executado silenciosamente, sem qualquer aviso ou clique do utilizador. Outro colaborador foi induzido a descarregar uma aplicação falsa de carteira através da plataforma TestFlight da Apple. Uma vez obtido o acesso interno, os atacantes recorreram à funcionalidade nativa Durable Nonce da Solana para pré-assinar transações e, após aprovação multisig, esgotaram imediatamente os fundos.
Quais São os Custos Deste Novo Paradigma de Ataque?
O incidente da Drift expôs custos em múltiplas frentes, muito para além dos 285 milhões $ de perdas diretas.
O impacto mais imediato foi a perda financeira e o choque de mercado. Este foi o maior incidente de segurança DeFi de 2026 até à data e o segundo maior na história da Solana. Após o ataque, o preço do token DRIFT caiu mais de 90% face ao máximo histórico.
Mais preocupante é o efeito de contágio. O número de protocolos afetados pela exploração da Drift aumentou de 11 inicialmente para mais de 20, incluindo novas vítimas como PiggyBank, Perena, Vectis e Prime Numbers Fi. Alguns protocolos suspenderam as funções de emissão, resgate ou depósito/levantamento. O protocolo de empréstimos descentralizados Project 0 interrompeu operações e iniciou um processo de desalavancagem, resultando numa desvalorização média de 2,61% para os credores.
O custo mais profundo e difícil de quantificar é a erosão da confiança que sustenta a segurança DeFi. A Drift salientou que todos os membros multisig utilizavam carteiras frias, e ainda assim o ataque foi bem-sucedido. Isto demonstra que, quando os atacantes visam a camada humana, até os controlos rigorosos de hardware podem ser ultrapassados. Se os atacantes operam como uma organização legítima durante meses—investindo fundos e participando no ecossistema—as defesas atualmente existentes são praticamente ineficazes para os detetar.
Que Implicações Tem Este Caso Para o Panorama DeFi?
O incidente da Drift está a obrigar a indústria a reavaliar uma questão fundamental: ainda se mantêm válidas as premissas centrais da segurança nas finanças descentralizadas?
Uma das principais áreas de reflexão prende-se com as vulnerabilidades estruturais dos sistemas de confiança em terceiros. O percurso do ataque do UNC4736 revelou que o atual ecossistema DeFi não dispõe de mecanismos sistemáticos de avaliação de segurança e monitorização contínua para novos parceiros. Atividades consideradas práticas de negócio normais—networking em conferências, mensagens instantâneas, integração em tesouros de ecossistemas—são precisamente o disfarce de que hackers patrocinados por Estados necessitam para se infiltrarem.
Outro debate crítico diz respeito às lacunas de compliance na recuperação de fundos. Investigadores on-chain notaram que os atacantes transferiram cerca de 232 milhões $ em USDC da Solana para Ethereum através de protocolos cross-chain. Os emissores de stablecoins tiveram uma janela de seis horas para congelar estes fundos, mas não tomaram qualquer medida. Isto levanta uma questão sistémica mais profunda: quando as defesas dos protocolos DeFi falham, será sustentável confiar na intervenção baseada em compliance por parte de emissores centralizados de stablecoins? Quais são os limites de atuação destas entidades quando confrontadas com fluxos de fundos de grande escala?
O Que se Segue?
Com base na investigação em curso e na resposta da indústria, estão a emergir várias tendências.
Os orçamentos de segurança vão ser reavaliados de forma sistemática. Em 2025, as perdas globais em segurança cripto ultrapassaram os 3,4 mil milhões $, com 89 incidentes confirmados no universo Web3, totalizando 2,54 mil milhões $ em perdas. À medida que os ataques patrocinados por Estados se tornam rotina, confiar apenas em auditorias de código e testes de segurança já não é suficiente. É expectável que mais protocolos invistam em formação operacional em segurança, simulações de defesa contra engenharia social e processos reforçados de verificação de antecedentes.
O risco de contágio entre protocolos passará a ser uma nova prioridade. O efeito dominó do incidente da Drift, que afetou mais de 20 protocolos, demonstra que a composabilidade do DeFi é uma faca de dois gumes para a segurança. As respostas futuras poderão incluir: (1) isolamento de dependências ao nível do protocolo e criação de níveis de segurança, e (2) mecanismos de resposta a incidentes e partilha de informação à escala do setor.
Os limites regulatórios e de compliance serão alvo de novas negociações. Os critérios de atuação dos emissores de stablecoins em situações deste tipo tornar-se-ão um ponto central do debate regulatório, podendo originar quadros de emergência para fluxos transfronteiriços de criptoativos.
Que Riscos Permanecem em Observação?
Apesar de a Drift ter congelado todas as funções do protocolo e removido as carteiras comprometidas do multisig, subsistem várias dimensões de risco que exigem acompanhamento.
Irreversibilidade da recuperação de fundos. Os atacantes eliminaram rapidamente os registos de mensagens instantâneas e o malware após o roubo, e os fundos já foram transferidos para Ethereum. Os grupos de hackers norte-coreanos dispõem de redes sofisticadas de branqueamento de capitais e misturadores cross-chain, tornando a maioria dos fundos roubados praticamente irrecuperável.
Assimetria nas capacidades de segurança. Organizações de hackers patrocinadas por Estados dispõem de recursos organizacionais, financiamento contínuo e funções especializadas, enquanto a maioria dos protocolos DeFi opera com equipas reduzidas e meios de segurança limitados. Os atacantes estão a explorar sistematicamente esta assimetria. As identidades utilizadas apresentam currículos profissionais completos, credenciais públicas e redes sociais profissionais, permitindo-lhes passar nos processos de due diligence empresarial padrão.
Fadiga de confiança a travar a inovação do setor. Se cada novo parceiro exigir avaliações de segurança rigorosas e monitorização contínua, as principais vantagens do DeFi—abertura e composabilidade—ficam em risco de erosão. Encontrar um equilíbrio entre defesa de segurança e eficiência operacional será um dos grandes desafios para o setor.
Conclusão
O ataque à Drift expôs uma realidade há muito negligenciada: as ameaças à segurança no DeFi deram um salto geracional. De bugs em smart contracts ao roubo de chaves privadas, passando agora para infiltrações de engenharia social patrocinadas por Estados ao longo de seis meses, os atacantes evoluem muito mais depressa do que os sistemas de defesa. Quando o atacante já não precisa de violar código, mas apenas de quebrar a confiança de alguém, a eficácia do multisig, das carteiras frias e do isolamento de hardware tem de ser reavaliada.
A indústria precisa de mais do que auditorias de código melhoradas e controlos de acesso mais rigorosos—precisa de uma nova mentalidade de segurança: tratar a "confiança humana" como uma superfície de ataque tão relevante quanto o "código de smart contract". Cada elo da cadeia—desde a verificação de antecedentes e cultura de segurança operacional, até à monitorização contínua de parceiros do ecossistema e resposta de emergência interprotocolos—deve ser redefinido. Num novo normal em que atores estatais entram na segurança cripto, nenhum protocolo pode isolar-se—toda a cadeia de segurança é tão forte quanto o seu elo mais fraco.
FAQ
P: O UNC4736 é o mesmo que o Lazarus?
UNC4736 é uma designação utilizada por empresas de segurança para rastrear agentes de ameaça associados à Coreia do Norte. Embora exista alguma sobreposição com o mais conhecido Lazarus Group, não são exatamente o mesmo. Acredita-se que o UNC4736 se foque em operações de rendimento sustentado no setor cripto, visando entidades de pequena e média dimensão através de infiltração persistente.
P: Porque é que o multisig não protegeu a Drift deste ataque?
Os atacantes não roubaram diretamente as chaves privadas do multisig. Em vez disso, obtiveram direitos de aprovação multisig através de engenharia social e, posteriormente, usaram a funcionalidade Durable Nonce da Solana para pré-assinar transações e executá-las instantaneamente assim que tinham permissões suficientes. Isto demonstra que a segurança do multisig depende de os signatários não serem comprometidos por engenharia social.
P: Este ataque envolveu uma vulnerabilidade de smart contract?
Não. A Drift confirmou que o núcleo deste ataque foi engenharia social e abuso da funcionalidade Durable Nonce—não uma exploração tradicional do código de smart contract.
P: Que medidas tomou a Drift após o incidente?
A Drift congelou todas as funções do protocolo, removeu as carteiras comprometidas do multisig e convidou empresas de segurança a realizar uma investigação forense exaustiva. A equipa do protocolo declarou estar a cooperar com as autoridades policiais para rastrear os fundos roubados.
