Notícias

Hackers norte-coreanos invadem Drift antes de ataque de US$ 285 milhões

Foto de Rafael Cockell Rafael CockellÚltima Atualização abril 6, 2026
5 minutos de leitura

Neste domingo, o Drift Protocol, uma das principais exchanges descentralizadas (DEX) de contratos perpétuos na rede Solana, revelou detalhes alarmantes sobre um ataque que ocorreu em 1º de abril de 2026. Essa ação maliciosa resultou em um prejuízo de US$ 285 milhões, ou cerca de R$ 1,65 bilhão. O que se pensava ser um ataque oportunista foi, na verdade, uma operação meticulosamente planejada que durou seis meses, e estava ligada a um grupo envolvido com o Estado norte-coreano.

De acordo com a atualização do próprio protocolo, os invasores infiltraram-se na equipe do Drift no outono de 2025. Eles criaram conexões pessoais com diversos colaboradores e investiram mais de US$ 1 milhão (aproximadamente R$ 5,8 milhões) como uma forma de disfarçar suas intenções. Quase no instante em que começaram a drenar os fundos, apagaram todos os seus rastros digitais, dificultando a detecção do ataque.

No mercado de criptoativos, essa situação levanta uma pergunta importante: este ataque é um sinal de que atores estatais sofisticados aprenderam a explorar as vulnerabilidades de protocolos DeFi, ou revela falhas na segurança operacional e nos sistemas de controle de acesso das organizações? Ambas as interpretações são preocupantes e refletem a fragilidade do cenário atual.

Contexto do mercado

O Drift Protocol não foi escolhido ao acaso. Como a maior DEX de contratos perpétuos na Solana, ele tinha um volume de negociação que competia com plataformas renomadas em outras redes. Essa posição privilegiada, combinada com um modelo de gerenciamento de liquidez que permitia grandes quantias sendo controladas por terceiros, tornava a plataforma um alvo atraente para grupos malignos.

O grupo responsável pelo ataque, identificado como UNC4736 — que também é conhecido como AppleJeus ou Citrine Sleet — já tinha um histórico de invasões. A firma de cibersegurança Mandiant revelou que o mesmo grupo havia, anteriormente, hackeado a Radiant Capital em outubro de 2024, resultando em perdas superiores a US$ 50 milhões (cerca de R$ 290 milhões). Com foco no roubo de criptoativos, eles já atuaram em vários países, incluindo EUA, Canadá, Coreia do Sul e na Europa.

Dados de instituições como Chainalysis indicam que grupos relacionados à Coreia do Norte roubaram mais de US$ 3 bilhões em criptoativos entre 2017 e 2024. Com a confirmação de que os responsáveis pelo ataque ao Drift eram atores estatais, este incidente não apenas se torna significativo, mas também marca uma nova era para a segurança em DeFi.

Em termos simples, imagine

Visualize um grupo que aluga um escritório em um edifício de alto padrão na Faria Lima, alegando representar uma gestora quantitativa. Eles participam de happy hours, trocam cartões de visita com os desenvolvedores e depositam R$ 5,8 milhões em uma conta como garantia. Durante seis meses, eles observam os hábitos da equipe, aprendendo a rotina de quando os administradores estão no trabalho, até conseguirem instalar um software malicioso disfarçado em um código que parecia legítimo.

Na data escolhida, os acessos são acionados, e todo o cofre é esvaziado. Quando os colaboradores chegam ao escritório no dia seguinte, tudo está vazio e não há nenhum sinal dos invasores.

O que está por trás dessa movimentação?

A operação foi planejada desde o outono de 2025. O primeiro contato ocorreu em uma conferência importante do setor, onde o grupo se apresentou como uma firma de trading. Aos poucos, construíram um relacionamento que parecia normal, até formalizarem sua presença na plataforma com um Ecosystem Vault.

Entre dezembro de 2025 e janeiro de 2026, eles injetaram os US$ 1 milhão na plataforma, uma estratégia que disfarçava suas verdadeiras intenções. O relatório da SEAL911 mostra que três vetores de entrada foram utilizados: um repositório de código malicioso, um aplicativo falso oculto no TestFlight da Apple e links maliciosos disfarçados de projetos legítimos.

A análise da SEAL911 confirmou a ligação do ataque ao UNC4736 com base em evidências bem definidas, mas ainda não se sabe a identidade específica dos invasores.

Dados e fundamentos em destaque

  • ‘O Prazo da Infiltração’ – Seis meses de presença oculta dentro do Drift, sem que um alerta fosse acionado.
  • ‘O Ensaio Geral’ – A quantia de **US$ 1 milhão** funcionou como um teste da infraestrutura antes do ataque.
  • ‘O Agente Adormecido’ – Múltiplos vetores de ataque foram usados simultaneamente, sistematicamente preparados para garantir o sucesso do ataque.
  • ‘O Sinal Que Ninguém Viu’ – Todos os rastros digitais foram eliminados assim que o ataque foi executado.
  • ‘O Rombo Efetivo’ – As perdas são estimadas entre **US$ 270 milhões e US$ 285 milhões**.
  • ‘A Impressão Digital’ – A relação com o **UNC4736** foi estabelecida com alto grau de confiança.
  • ‘O Cordão de Isolamento’ – Análise forense em andamento para entender a extensão do ataque.

Esses dados mostram que o ataque superou as defesas do protocolo, explorando as lacunas existentes, especialmente em relação à falta de protocolos rigorosos para verificar identidades de colaboradores e parceiros.

O que muda na estrutura do mercado?

Em resposta ao ataque, a liquidez do Drift está sendo redirecionada para outras plataformas. Protocolos como GMX no Arbitrum, Hyperliquid e dYdX já estão sentindo o fluxo de novos investimentos. Esse cenário, que é comum após grandes hacks, pode demorar meses para ser revertido, se for revertido.

Além disso, o modelo de ameaça na DeFi mudou. Não estamos mais lidando com hackers empíricos, mas com unidades de inteligência que atuam com planejamento e recursos substanciais. Como bem colocou Michael Pearl da Cyvers, os tempos de cripto enfrentam adversários semelhantes a equipes de inteligência, algo para o qual muitos não estão preparados.

Esse cenário também pode levar a uma maior regulação. Cada ataque atribuído a estados fornece aos reguladores — como a CVM e o Banco Central do Brasil — argumentos concretos para exigir padrões rigorosos de segurança em protocolos DeFi.

Quais os sinais on-chain que importam agora?

‘O Piso de Concreto’ (SOL) – Os investidores devem ficar atentos se o nível de **US$ 110** (aproximadamente **R$ 638**) for perdido.

‘O Teto de Vidro’ (SOL) – Um retorno acima de **US$ 145** (cerca de **R$ 841**) dependerá de garantias robustas de segurança e transparência do protocolo.

‘A Zona de Interesse’ (DRIFT) – O token **DRIFT** já enfrentou uma queda de quase 98% e precisa demonstrar sinais de recuperação.

‘O Alçapão’ (carteiras do atacante) – Movimentações em endereços identificados devem ser monitoradas cuidadosamente.

Como isso afeta o investidor brasileiro?

Se você investe no Drift Protocol, é fundamental revogar todas as aprovações de contratos smart associadas ao seu wallet. Para aqueles que utilizam exchanges custodiais como Mercado Bitcoin ou Binance Brasil, se não transferiram seus fundos para carteiras conectadas ao protocolo, estão a salvo do ataque.

O impacto é ainda mais considerável para o investidor brasileiro, pois com o dólar elevado, cada perda em cripto se torna muito maior em reais. Além disso, se você possui SOL fora do protocolo, fique atento aos movimentos do mercado, pois o sentimento de contágio costuma afetar os preços.

Documentação é crucial neste momento. Se você sofreu perdas, registre-as, pois isso poderá ajudar em uma possível compensação futura. As obrigações fiscais permanecem, e é importante manter tudo bem organizado.

A recomendação prática é esperar antes de alocar novos recursos em protocolos DeFi sobre Solana até que o ataque seja efetivamente contido e auditorias independentes sejam apresentadas. A cautela é essencial nesta fase.

Riscos e o que observar

  • ‘Risco de Vetor Replicável’: Caso o ataque tenha sido realizado por comprometimento de um desenvolvedor, há protocolos que podem enfrentar questões semelhantes se não atualizarem suas práticas.
  • ‘Risco de Fuga Estrutural de TVL’: Monitorar o índice de liquidez da Solana é fundamental. Uma queda consistente pode indicar saída institucional.
  • ‘Risco de Lavagem via Mixer’: Movimentações dos fundos roubados precisam de atenção, pois geralmente são movimentados de maneiras que dificultam rastreio.
  • ‘Risco de Resposta Regulatória Acelerada’: Ataques vinculados a atores estatais aumentam a chance de novas regulamentações que podem encarecer a operação para protocolos menores.
  • ‘Risco de Contágio em Cascata’: Protocolos que dependem do Drift podem enfrentar consequências secundárias.

O cenário atual apresenta duas direções possíveis. Se a situação for controlada rapidamente e um plano de compensação for implementado, há chances de recuperação — com a ressalva de que essa recuperação pode levar tempo. Caso contrário, pode ser mais um exemplo de falência na história do DeFi.

Foto de Rafael Cockell Rafael CockellÚltima Atualização abril 6, 2026
5 minutos de leitura
Foto de Rafael Cockell

Rafael Cockell

Administrador, com pós-graduação em Marketing Digital. Cerca de 4 anos de experiência com redação de conteúdos para web.

Artigos relacionados

Drift afirma que hackers interagiram pessoalmente em conferências para ganhar confiança antes de roubar US$ 280 milhões

Hackers se encontraram em conferências antes de roubar US$ 280 milhões

abril 6, 2026
Comissão da Câmara avalia projeto do Drex e relator aprova regras contra o fim do dinheiro em papel

Câmara discute projeto do Drex e aprova regras contra uso de papel moeda

abril 6, 2026
Base amplia foco em stablecoins, tokenização e desenvolvedores

Base amplia foco em stablecoins e tokenização para desenvolvedores

abril 5, 2026
Projeto do governo brasileiro prevê adoção de blockchain em fábricas para rastrear emissões de carbono

Governo brasileiro planeja uso de blockchain para rastrear emissões

abril 5, 2026
Botão Voltar ao topo