Invasores obtiveram aprovações multisig, assumiram poderes administrativos do protocolo e esvaziaram cofres em segundos sem evidência de falha em contratos inteligentes.
| Componente | Drift Protocol, poderes administrativos do Security Council, aprovações multisig e mecanismo de contas de nonce durável na Solana. |
| Vetor | Aprovações de transações não autorizadas ou apresentadas de forma enganosa foram obtidas antes da execução, com uso provável de engenharia social contra signatários multisig e transações pré-assinadas com execução postergada. |
| Impacto | Cerca de US$ 285 milhões foram drenados após transferência administrativa maliciosa, remoção de limites de saque e introdução de um ativo falso usado como colateral. |
| Prioridade | Revisar fluxos multisig, exigir validação independente de transações pré-assinadas, aplicar atrasos efetivos para migração administrativa e monitorar pontes, corretoras e movimentação on-chain associada aos fundos. |
| Artefatos | Ativo CarbonVote Token, saques envolvendo JLP e wETH, uso de Tornado Cash para preparação inicial e padrões de ponte entre cadeias compatíveis com lavagem pós-incidente. |
| Atribuição | Há indícios on-chain compatíveis com operações de roubo de criptoativos atribuídas anteriormente a atores ligados à Coreia do Norte, mas a atribuição permanece condicionada à confirmação técnica. |
A exchange descentralizada Drift, baseada em Solana, confirmou um incidente em 1º de abril de 2026 no qual invasores drenaram aproximadamente US$ 285 milhões. O ponto central do caso não foi descrito como exploração de uma vulnerabilidade em programas ou contratos inteligentes do protocolo, nem como comprometimento confirmado de seed phrases. A falha operacional ocorreu no plano de governança e administração: aprovações multisig suficientes foram obtidas antes da execução e depois usadas para transferir poderes administrativos do Security Council em uma janela muito curta.
O ataque combinou preparação prolongada, transações pré-assinadas, contas de nonce durável e engenharia social contra participantes com autoridade de aprovação. Esse arranjo permitiu que a execução fosse atrasada até o momento escolhido pelo operador, reduzindo a chance de reação humana e de controles dependentes de observação manual. Após assumir permissões de nível protocolar, o invasor conseguiu introduzir um ativo malicioso, remover limites de saque previamente configurados e atacar fundos já existentes no protocolo.
A drenagem principal foi extremamente rápida. O intervalo informado entre o primeiro saque relevante, envolvendo 41,72 milhões de JLP, e o último saque primário, envolvendo 2.200 wETH, foi de cerca de dez segundos. Esse tempo operacional mostra que o controle administrativo já estava preparado para execução automatizada ou coordenada antes do evento visível, e que a fase crítica não começou quando os saques apareceram na cadeia, mas quando as aprovações enganadas ou indevidas foram coletadas.
Em Solana, contas de nonce durável podem permitir que uma transação assinada permaneça válida para execução posterior sob determinadas condições. Em um fluxo legítimo, esse recurso atende necessidades operacionais específicas; em um fluxo abusado, ele pode mascarar a distância temporal entre aprovação e efeito real. No caso da Drift, o contexto aponta que signatários multisig teriam autorizado transações sem compreender plenamente o efeito final, ou sob representação enganosa, permitindo que o invasor acumulasse autorizações suficientes antes de acionar a etapa destrutiva.
A transferência administrativa maliciosa foi o pivô do incidente. Com poderes do Security Council, o operador passou a controlar permissões de protocolo e alterou condições relevantes para a movimentação de ativos. A sequência relatada inclui a criação ou introdução do CarbonVote Token, um ativo fictício com liquidez inicial pequena e atividade de negociação artificial. Esse ativo foi tratado por oráculos do ambiente como colateral legítimo em valor muito superior ao lastro real, o que ampliou a capacidade de retirada contra cofres existentes.
A ausência de uma falha declarada em contrato inteligente muda o foco defensivo. O risco está em cerimônias de assinatura, UX de carteiras, revisão de mensagens de transação, governança de emergência, limites administrativos e tempo de bloqueio para mudanças críticas. Quando uma arquitetura permite que uma mudança de controle e a remoção de limites ocorram sem atraso efetivo, uma aprovação enganada pode ter impacto equivalente ao de uma exploração técnica direta, mesmo que o código do contrato não tenha sido quebrado.
Indicadores comportamentais posteriores ao incidente apontam para uso de infraestrutura e técnicas frequentes em grandes roubos de criptoativos: preparação com Tornado Cash, pontes entre cadeias e lavagem em alta velocidade após a drenagem. Esses elementos também foram observados em incidentes atribuídos anteriormente a operadores norte-coreanos, inclusive roubos de grande escala contra o setor Web3. A atribuição, porém, deve ser tratada como inferência técnica baseada em padrões on-chain e não como prova isolada de autoria.
A superfície exposta envolve protocolos Web3 que dependem de governança multisig para alterações administrativas, especialmente quando signatários aprovam transações fora de um processo de validação independente e legível. A presença de contratos corretos não elimina o risco se o controle administrativo puder redefinir permissões, alterar limites, registrar ativos, afetar oráculos ou migrar conselhos de segurança sem uma janela de contenção proporcional ao impacto.
Também ficam expostos desenvolvedores, operadores, contribuidores e responsáveis por carteiras com autoridade sobre tesourarias, cofres, pontes, oráculos ou parâmetros de risco. Campanhas de engenharia social contra o setor de criptomoedas costumam usar personas convincentes, interações prolongadas e iscas adaptadas ao papel da vítima. O contexto associa essa pressão operacional a campanhas conhecidas por mirar profissionais Web3, embora o incidente da Drift deva ser avaliado pelos artefatos próprios da cadeia e pelas aprovações coletadas.
- Protocolos em Solana que usam aprovações multisig para mudanças administrativas de alto impacto.
- Signatários que aprovam transações pré-assinadas sem decodificação independente do efeito final.
- Controles de governança sem atraso efetivo para migração de autoridade ou remoção de limites de saque.
- Oráculos e parâmetros de colateral que podem aceitar ativos recém-criados com liquidez pequena ou atividade artificial.
A investigação deve separar a fase de preparação da fase de drenagem. A etapa visível de saque durou segundos, mas a preparação teria começado dias antes, em 23 de março de 2026. Equipes de segurança precisam procurar transações de governança pré-assinadas, uso de contas de nonce durável associadas a operações administrativas, mudanças de autoridade multisig e aprovações obtidas fora de janelas normais de manutenção. O objetivo é reconstruir quem assinou, quando assinou, qual mensagem foi apresentada e qual efeito on-chain foi realmente autorizado.
Na telemetria on-chain, os sinais mais relevantes incluem criação de ativo com liquidez inicial limitada, negociação artificial para fabricar aparência de mercado, aceitação desse ativo como colateral, remoção de limites de retirada e sequência de saques em múltiplos ativos. Em telemetria operacional, a defesa deve correlacionar mensagens enviadas a signatários, solicitações de aprovação, ferramentas usadas para assinar, alterações de permissões e qualquer pressão social para aprovar transações com urgência ou sob justificativa incompleta.
Para inteligência de ameaças, a lavagem deve ser observada sem publicar rotas ativas que facilitem movimentação de fundos. O caso inclui menção a Tornado Cash para preparação inicial, pontes entre cadeias e velocidade elevada na dispersão pós-roubo. Esses elementos ajudam a orientar congelamento junto a pontes e corretoras, mas não substituem validação por grafos de transação, análise de clusters, horários de implantação de contratos e comparação com padrões de incidentes anteriores.
- Aprovações multisig para migração administrativa realizadas antes do evento de saque.
- Contas de nonce durável vinculadas a transações administrativas de alto privilégio.
- Criação e uso do CarbonVote Token como colateral com valor incompatível com liquidez real.
- Remoção de limites de saque seguida por retiradas rápidas de JLP, wETH ou outros ativos relevantes.
- Movimentação por mixers e pontes entre cadeias logo após a drenagem principal.
A resposta imediata deve preservar evidências de assinatura, capturar estados de governança, congelar alterações administrativas remanescentes e coordenar com pontes, corretoras e autoridades para rastrear ativos roubados. Em paralelo, é necessário revisar cada aprovação multisig relacionada ao incidente, incluindo o texto exibido ao signatário, a transação real decodificada, a conta de nonce usada e o momento de execução. Sem essa reconstrução, a organização corre o risco de tratar a drenagem como evento isolado e deixar intacto o processo que permitiu a autorização enganosa.
A correção estrutural deve elevar o padrão de mudanças administrativas. Migrações de conselho, registro de ativos, alteração de oráculos, remoção de limites e qualquer mudança que afete saque ou colateral precisam passar por atrasos verificáveis, simulação independente, decodificação legível por humanos e aprovação fora de banda. Signatários não devem depender apenas da interface que apresenta a solicitação; uma segunda ferramenta deve reconstruir o efeito final a partir da transação serializada antes da assinatura.
Controles de risco também devem impedir que ativos recém-criados sejam tratados como colateral de alto valor sem histórico, liquidez verificável e limites graduais. Mesmo quando a governança precisa operar com agilidade, a plataforma deve manter limites de exposição por ativo, pausas automáticas para mudanças de colateral e detecção de wash trading. O objetivo defensivo não é apenas bloquear uma técnica específica de nonce durável, mas reduzir o impacto quando engenharia social consegue atravessar o primeiro nível de aprovação.
- Aplicar atraso obrigatório para migração administrativa, remoção de limites e inclusão de novos ativos como colateral.
- Exigir decodificação independente de transações multisig, com revisão humana do efeito final e não apenas do rótulo apresentado pela interface.
- Monitorar contas de nonce durável usadas em operações de governança e alertar para execução postergada de ações críticas.
- Criar limites progressivos para ativos novos, com validação de liquidez, oráculos e atividade de mercado antes de liberar exposição relevante.
- Treinar signatários contra engenharia social direcionada, incluindo solicitações de aprovação urgentes, incompletas ou apresentadas por personas externas.
0 Comentários