A empresa de analytics de blockchain Elliptic informou a 2 de abril de 2026 que o exploit de $286 milhões do Drift Protocol, baseado na Solana, tem múltiplos indicadores de envolvimento por parte do grupo de hackers patrocinado pelo Estado norte-coreano, o grupo DPRK, assinalando o que seria o décimo oitavo ataque desse tipo detetado pela Elliptic este ano.
O exploit de 1 de abril, o maior hack DeFi de 2026 até à data, fez cair o valor total bloqueado do Drift de aproximadamente $550 milhões para menos de $250 milhões, com comportamentos on-chain, metodologias de branqueamento e sinais ao nível da rede a espelhar operações anteriores associadas a Estados.
Elliptic Identifica Comportamento On-Chain Previamente Planeado e Padrões de Branqueamento Transversal de Cadeias
A análise da Elliptic aponta para uma atividade que parece “previamente planeada e cuidadosamente preparada”, com transações de teste iniciais e carteiras previamente posicionadas antes do evento principal. A carteira do atacante foi criada aproximadamente oito dias antes do exploit e recebeu uma pequena transferência de teste de uma vault do Drift durante esse período, sugerindo planeamento antecipado.
(Fonte: Elliptic Investigator)
Uma vez executados, os fundos foram rapidamente consolidados e trocados, enviados através de pontes entre cadeias (bridged) e convertidos em ativos mais líquidos, refletindo um fluxo de branqueamento estruturado e repetível, concebido para obscurecer a origem enquanto mantém o controlo. O atacante drenou três vaults centrais: as vaults JLP Delta Neutral, SOL Super Staking e BTC Super Staking. A maior transferência única envolveu aproximadamente 41,7 milhões de tokens JLP, avaliados em cerca de $155 milhões na altura do roubo. Os ativos adicionais roubados incluíram USDC, SOL, cbBTC, wBTC e tokens de staking líquido.
Dentro de uma hora do início do ataque, o atacante drenou sistematicamente a grande maioria da liquidez do Drift, retirando ativos de múltiplas vaults de protocolo. Segundo a empresa de segurança de blockchain PeckShield, a causa preliminar parece ser a intrusão nas chaves privadas do administrador do protocolo, que deu ao atacante acesso privilegiado para iniciar levantamentos e alterar controlos administrativos.
O Modelo de Contas da Solana Complica a Investigação do Exploit com Múltiplos Ativos
A Elliptic salienta que o modelo de contas da Solana coloca um desafio central para os investigadores. Como cada ativo é mantido numa conta de token separada, a atividade associada a um único ator pode parecer fragmentada através de múltiplos endereços. O atacante drenou mais de 15 tipos de tokens através de várias vaults, o que significa que os tokens do atacante — JLP, USDC, SOL, cbBTC e outros ativos roubados — estão cada um em endereços on-chain distintos.
Os fornecedores de analytics que tratam estes endereços como não relacionados verão fragmentos da atividade do atacante, não o quadro completo. A abordagem de clustering da Elliptic liga as contas de token de volta a uma única entidade, permitindo que a exposição seja identificada independentemente de qual endereço seja analisado. O caso também realça como o branqueamento se tornou inerentemente transversal de cadeias, com fundos a movimentarem-se da Solana para a Ethereum e além, exigindo capacidades holísticas de rastreio transversal de cadeias.
Roubo Cripto Ligado ao DPRK Se Escalona à Medida que a Elliptic Rastreia $300 Milhões Roubados em 2026
Se for confirmado, este incidente representaria o décimo oitavo ato ligado ao DPRK que a Elliptic acompanhou em 2026, com mais de $300 milhões roubados até ao momento. Acredita-se que atores ligados ao DPRK tenham roubado mais de $6,5 mil milhões em criptoativos nos últimos anos. O governo dos EUA associou os roubos ao financiamento do programa de armas de destruição maciça da Coreia do Norte.
Em dezembro de 2025, um relatório da Chainalysis revelou que hackers do DPRK roubaram um valor recorde de $2 mil milhões em cripto em 2025, incluindo a violação de $1,4 mil milhões da Bybit, representando um aumento de 51% face ao ano anterior. O Departamento do Tesouro dos EUA reiterou no mês passado que a Coreia do Norte utiliza ativos roubados para financiar o seu programa de armas.
O exploit do Drift também ocorre num contexto de escalada mais ampla de atividades ligadas ao DPRK que visam o ecossistema cripto, incluindo uma recente intrusão na cadeia de abastecimento do pacote npm axios, que a Google atribuiu ao ator de ameaça do DPRK UNC1069.
O Drift Protocol confirmou o exploit no X, afirmando que estava a sofrer um “ataque ativo” e que os depósitos e levantamentos tinham sido suspensos. A equipa está a coordenar-se com várias empresas de segurança, pontes entre cadeias e bolsas para conter o incidente. O token do Drift caiu mais de 40% para cerca de $0,06 desde o hack.
FAQ
Quanto foi roubado no exploit do Drift Protocol e quem é suspeito?
Cerca de $286 milhões foram roubados do Drift Protocol a 1 de abril de 2026. A Elliptic identificou múltiplos indicadores que sugerem o envolvimento por parte do grupo de hackers patrocinado pelo Estado norte-coreano DPRK, incluindo comportamento on-chain previamente planeado e padrões de branqueamento consistentes com operações anteriores associadas a Estados.
O que fez com que o exploit do Drift fosse particularmente difícil de rastrear?**
O atacante drenou mais de 15 tipos de tokens através de várias vaults. O modelo de contas da Solana cria contas de token separadas para cada tipo de ativo mantido por uma única entidade, o que significa que os vários ativos roubados do atacante estão cada um em endereços on-chain distintos. Sem agrupar (clustering) estes endereços, os investigadores veem fragmentos em vez do quadro completo do ataque.
Como é que este incidente se enquadra nas tendências mais amplas de hacking do DPRK?
Se for confirmado, isto corresponderia ao décimo oitavo ato ligado ao DPRK que a Elliptic acompanhou em 2026, com mais de $300 milhões roubados até ao momento. Acredita-se que atores ligados ao DPRK tenham roubado mais de $6,5 mil milhões em criptoativos nos últimos anos, com o governo dos EUA a associar estes roubos ao financiamento do programa de armas de destruição maciça do país.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
