O Drift Protocol, principal exchange descentralizada de contratos perpétuos sobre a rede Solana, revelou neste domingo que o exploit de US$ 285 milhões (aproximadamente R$ 1,65 bilhão na cotação atual) que drenou a plataforma em 1º de abril de 2026 não foi um ataque oportunista de fim de semana – foi o desfecho calculado de uma operação de inteligência de seis meses conduzida por um grupo afiliado ao Estado norte-coreano. Segundo atualização detalhada publicada pelo próprio protocolo, os atacantes se infiltraram na organização ainda no outono de 2025, construíram relacionamentos presenciais com contribuidores, depositaram mais de US$ 1 milhão (aproximadamente R$ 5,8 milhões) de capital próprio como cobertura de identidade, e apagaram todos os rastros digitais no exato momento em que os fundos começaram a ser drenados.
A pergunta que domina as mesas de operação é clara: este ataque representa a prova de que atores estatais industrializaram a exploração de protocolos DeFi a um nível em que nenhuma medida de segurança de contrato inteligente pode detectá-los a tempo – ou a janela de seis meses de presença silenciosa dentro da organização revela, antes de tudo, uma falha de segurança operacional no nível de pessoas e gestão de acesso, que protocolos descentralizados nunca foram estruturados para endereçar? Ambas as leituras são sustentáveis pelos dados disponíveis, e nenhuma delas é confortável.
Contexto do mercado
O Drift Protocol não era um alvo aleatório. Como o maior DEX de perpétuos sobre a Solana, o protocolo concentrava volume de negociação de derivativos que rivalizava com plataformas estabelecidas em outras redes. Essa posição de liderança, combinada com a arquitetura de vaults do ecossistema que permitia grandes concentrações de liquidez gerenciadas por terceiros, criava exatamente o perfil que grupos de ameaça sofisticados buscam: alta liquidez, múltiplos vetores de acesso via integrações externas, e uma base de contribuidores descentralizada e, portanto, mais difícil de auditar em termos de identidade e acesso.
O grupo de ameaça identificado – UNC4736, rastreado também como AppleJeus ou Citrine Sleet – não é um ator de primeira viagem. A firma de cibersegurança Mandiant, que está auxiliando as autoridades na investigação forense, já havia vinculado o mesmo grupo ao hack da Radiant Capital em outubro de 2024, que resultou em perdas superiores a US$ 50 milhões (aproximadamente R$ 290 milhões). O UNC4736 é um subgrupo do ecossistema de ameaças norte-coreano focado especificamente em roubo de criptoativos, com histórico documentado de operações contra empresas de fintech nos Estados Unidos, Canadá, Coreia do Sul, Índia e Europa Ocidental.
O quadro mais amplo é ainda mais perturbador: estimativas de organizações como Chainalysis e o próprio governo norte-americano apontam que atores vinculados à Coreia do Norte roubaram mais de US$ 3 bilhões em criptoativos entre 2017 e 2024, com aceleração significativa nos últimos dois anos. Conforme analisamos anteriormente no CriptoFácil sobre o exploit inicial da Drift e suas perdas de até US$ 285 milhões, o ataque já era extraordinário pela magnitude; agora, com a confirmação da autoria e do método, ele se torna um marco na história da segurança em DeFi.
Confira nossas sugestões de Pre-Sales para investir agora
A questão que a atribuição ao UNC4736 coloca para o ecossistema é esta: se o grupo passou seis meses dentro da organização sem ser detectado, qual é a distância entre a sofisticação dos atacantes e a capacidade de detecção dos protocolos DeFi? A resposta, pelos dados disponíveis, é desconfortavelmente larga.
Em termos simples, imagine
Imagine que um grupo de pessoas se candidata a um escritório premium na Faria Lima alegando representar uma gestora quantitativa internacional. Eles alugam uma sala no mesmo andar que a sua empresa, participam dos happy hours do condomínio, trocam cartão de visita com seus desenvolvedores, aparecem nos eventos de networking do setor financeiro, e até depositam R$ 5,8 milhões em uma conta conjunta como prova de boa-fé para um acordo de parceria.
Durante seis meses, eles observam os fluxos de acesso ao cofre da empresa, aprendem os horários dos administradores de sistemas, mapeiam quais colaboradores têm permissões críticas, e instalam discretamente um software malicioso no computador de um desenvolvedor – embutido em um repositório de código que parecia legítimo. Nenhum alarme dispara porque tudo foi feito dentro dos protocolos normais de relacionamento corporativo.
Na madrugada do dia combinado, os acessos são usados simultaneamente, os cofres são esvaziados, e no manhã seguinte – quando os primeiros colaboradores chegam ao escritório – a sala alugada está completamente vazia, os celulares cadastrados no Telegram foram desativados, e não há qualquer rastro digital das pessoas que estiveram lá por meio ano.
O que está por trás dessa movimentação?
A reconstrução da operação, conforme descrita pelo Drift Protocol em seu relatório de incidente e corroborada pela análise forense da SEAL911, segue uma linha do tempo que começa no outono de 2025. O primeiro contato ocorreu em uma conferência importante do setor cripto, onde membros do grupo se apresentaram como representantes de uma firma de trading quantitativo interessada em integrar seus sistemas ao protocolo – uma abordagem plausível e rotineira no ecossistema DeFi.
Ao longo dos meses seguintes, os atacantes escalaram o relacionamento de forma metódica. Realizaram reuniões presenciais com contribuidores da Drift, coordenaram operações via Telegram, e formalizaram a presença no ecossistema ao criar um Ecosystem Vault dentro da plataforma. Em dezembro de 2025 e janeiro de 2026, depositaram mais de US$ 1 milhão (aproximadamente R$ 5,8 milhões) de capital próprio no vault – um movimento que, retrospectivamente, funcionou tanto como sinal de legitimidade quanto como teste operacional da infraestrutura que pretendiam atacar.
A sequência de comprometimento técnico, reconstruída a partir dos dados forenses e do relatório do protocolo, identificou três vetores de entrada distintos: um repositório de código malicioso clonado de uma fonte legítima, que continha uma vulnerabilidade silenciosa no VSCode e no Cursor capaz de executar código sem interação do usuário; um aplicativo falso distribuído via TestFlight – a plataforma de testes beta da Apple – disfarçado de produto de carteira digital; e links compartilhados em sessões de trabalho que direcionavam para ferramentas e projetos aparentemente legítimos, mas que continham payloads maliciosos.
A atribuição ao UNC4736 foi estabelecida com “confiança média-alta” pela SEAL911, com base em três categorias de evidências: sobreposição de endereços de carteiras on-chain com os padrões já documentados no hack da Radiant Capital; técnicas de staging de fundos consistentes com o perfil operacional do grupo; e padrões comportamentais – como o uso de intermediários de terceiros para contatos presenciais e a eliminação completa de rastros digitais imediatamente após a execução – que correspondem ao histórico atribuído ao UNC4736 pela Mandiant e pela CrowdStrike. O que permanece não confirmado é a identidade real de qualquer indivíduo específico envolvido na operação.
Dados e fundamentos em destaque
- ‘O Prazo da Infiltração’ – Seis meses de presença ativa dentro do ecossistema da Drift, desde o primeiro contato em conferência no outono de 2025 até a execução do exploit em 1º de abril de 2026. Nenhum sinal de alerta foi detectado pelo protocolo durante esse período.
- ‘O Ensaio Geral’ – Entre dezembro de 2025 e janeiro de 2026, os atacantes depositaram mais de US$ 1 milhão (aproximadamente R$ 5,8 milhões) de capital próprio em um Ecosystem Vault da Drift, operando como gestora legítima por semanas antes de ativar o ataque.
- ‘O Agente Adormecido’ – O comprometimento técnico envolveu ao menos três vetores simultâneos: vulnerabilidade silenciosa em VSCode/Cursor, aplicativo falso via TestFlight, e links maliciosos distribuídos em sessões de trabalho – sugerindo redundância de acesso planejada para garantir ao menos um vetor funcional no momento do ataque.
- ‘O Sinal Que Ninguém Viu’ – Chats do Telegram, identidades fabricadas e todo o malware foram completamente eliminados no momento exato em que o exploit foi executado, em 1º de abril de 2026 – indicando que a limpeza de rastros fazia parte do protocolo operacional desde o início.
- ‘O Rombo Efetivo’ – As perdas totais são estimadas entre US$ 270 milhões e US$ 285 milhões (aproximadamente R$ 1,57 bilhão a R$ 1,65 bilhão), com rastreamento on-chain mostrando sobreposição de endereços de staging com os fundos roubados da Radiant Capital em 2024.
- ‘A Impressão Digital’ – A atribuição ao UNC4736 foi estabelecida com confiança média-alta pela SEAL911 e é corroborada pela Mandiant, que auxilia a investigação forense junto a autoridades policiais – mas a confirmação pública formal de quaisquer indivíduos específicos ainda não ocorreu.
- ‘O Cordão de Isolamento’ – A Mandiant está conduzindo análise forense dos dispositivos e comunicações afetados, com foco em identificar a extensão completa do comprometimento e potencialmente rastrear o movimento dos fundos através de bridges e mixers.
O conjunto desses dados aponta para uma operação que não apenas superou as defesas técnicas do protocolo, mas que foi projetada especificamente para explorar o ponto cego estrutural de organizações DeFi: a ausência de protocolos de vetting de identidade para parceiros de negócios e contribuidores externos equivalentes aos que qualquer instituição financeira regulada manteria.
O que muda na estrutura do mercado?
O efeito competitivo imediato é mensurável: liquidez que estava alocada em vaults de perpétuos sobre Solana está migrando para alternativas em outras redes. Plataformas como GMX no Arbitrum, Hyperliquid e dYdX registraram aumento de fluxo de entrada nos dias seguintes ao exploit – um padrão que se repete após grandes hacks em ecossistemas específicos e que historicamente leva de três a seis meses para ser revertido, quando é revertido. O TVL total em protocolos Solana DeFi, conforme rastreado pelo DeFiLlama, deve ser monitorado semanalmente nas próximas semanas como termômetro da confiança institucional na rede.
O segundo efeito é mais estrutural e mais duradouro: este ataque demonstra que o modelo de ameaça relevante para protocolos DeFi com liquidez acima de US$ 100 milhões já não é o do hacker explorando uma vulnerabilidade de contrato inteligente – é o da unidade de inteligência estatal operando com paciência de meses, identidades fabricadas profissionalmente e recursos para sustentar uma cobertura crível. Como resumiu Michael Pearl, VP de Estratégia da firma de segurança blockchain Cyvers: “Times de cripto estão enfrentando adversários que operam mais como unidades de inteligência do que como hackers, e a maioria das organizações não está estruturalmente preparada para esse nível de ameaça.”
O terceiro efeito é regulatório. Conforme analisamos anteriormente no CriptoFácil sobre ataques recentes a protocolos DeFi e os riscos sistêmicos ao ecossistema, cada grande exploit com atribuição clara a atores estatais fornece às autoridades regulatórias – incluindo a CVM e o Banco Central do Brasil – munição concreta para exigir requisitos obrigatórios de reporte de segurança e padrões mínimos de controle de acesso para protocolos DeFi que ultrapassem determinados limites de liquidez. A combinação de escala (US$ 285 milhões) com atribuição estatal confirmada (Coreia do Norte) é precisamente o tipo de evento que catalisa legislação em jurisdições que ainda debatiam se regulação de DeFi era necessária.
Quais os sinais on-chain que importam agora?
‘O Piso de Concreto’ (SOL) – O nível de US$ 110 (aproximadamente R$ 638 na cotação atual) representa o suporte técnico onde compradores institucionais historicamente reentram após eventos de risco específico de ecossistema. Uma perda desse nível em volume acima da média sinalizaria saída estrutural, não apenas reação pontual ao exploit.
‘O Teto de Vidro’ (SOL) – Recuperação acima de US$ 145 (aproximadamente R$ 841) exigirá confirmação de que o vetor de ataque foi completamente fechado, publicação de auditoria independente dos protocolos afetados, e algum anúncio de compensação para usuários lesados. Sem esses três elementos, qualquer recuperação de preço tende a ser vendida por quem busca saída de qualidade.
‘A Zona de Interesse’ (DRIFT) – O token DRIFT já acumulava queda próxima de 98% em relação ao pico histórico antes do exploit. Qualquer narrativa de recuperação precisaria começar com reativação verificável do protocolo, plano de compensação concreto e volume de depósitos retornando a pelo menos 30% do TVL pré-exploit. Abaixo dos níveis atuais sem qualquer desses catalisadores, o token opera em território de capitulação.
‘O Alçapão’ (carteiras do atacante) – A SEAL911 e a Mandiant identificaram endereços de staging vinculados ao UNC4736 que estão sendo monitorados ativamente. O sinal crítico a observar é qualquer movimentação desses endereços em direção a bridges cross-chain – especialmente pontes entre Solana e Ethereum – seguida de interação com mixers ou protocolos de privacidade. Esse padrão, documentado nos fundos da Radiant Capital, reduz drasticamente a probabilidade de recuperação.
Como isso afeta o investidor brasileiro?
Se você, investidor brasileiro, mantinha posições ativas no Drift Protocol – seja em vaults, posições alavancadas ou liquidez provida – a primeira ação prioritária é revogar todas as aprovações de contrato inteligente vinculadas ao seu endereço. Ferramentas como Revoke.cash permitem fazer isso diretamente. Usuários de exchanges custodiais brasileiras como Mercado Bitcoin, Foxbit ou Binance Brasil não têm exposição direta ao exploit, desde que não tenham movido fundos para carteiras próprias conectadas ao protocolo.
O Efeito BRL amplifica o impacto de forma significativa. Com o dólar acima de R$ 5,80, cada US$ 1.000 de perda equivale a mais de R$ 5.800 – um multiplicador que torna prejuízos em cripto substancialmente mais dolorosos para o investidor brasileiro do que os valores em dólar sugerem. Além disso, detentores de SOL fora do protocolo ainda enfrentam drawdown por contágio de sentimento: o mercado não distingue, no curto prazo, entre risco de contrato e risco de rede. Posições alavancadas em SOL em outras plataformas merecem atenção especial ao nível de liquidação.
Do ponto de vista fiscal, a Lei 14.754/2023 e a Instrução Normativa 1.888 da Receita Federal estabelecem obrigações claras que se aplicam mesmo a perdas decorrentes de exploits. Perdas comprovadas por hack podem ser registradas como perdas de capital para compensação futura – mas a documentação precisa ser preservada agora, enquanto os dados on-chain são públicos e rastreáveis. Isso inclui os hashes de todas as transações relevantes, screenshots do saldo antes do exploit, e qualquer comunicação com o protocolo sobre compensação. Se as perdas superarem R$ 35.000 no mês, o reporte via DARF e o registro no GCAP são obrigatórios. Não espere o exploit esfriar para organizar essa documentação – a janela de dados acessíveis em formato legível tende a ser mais estreita do que parece.
A recomendação prática é direta: não realize novas alocações em vaults DeFi sobre Solana até que o vetor de ataque seja confirmado publicamente, uma auditoria independente seja publicada, e algum mecanismo de compensação seja anunciado pelo protocolo. Conforme também detalhamos no CriptoFácil sobre incidentes de segurança recentes no ecossistema Solana, o padrão de vulnerabilidades na rede vai além de exploits isolados e merece cautela estrutural por parte do investidor brasileiro.
Riscos e o que observar
- ‘Risco de Vetor Replicável’: Se o acesso foi obtido via comprometimento de um desenvolvedor através de repositório de código malicioso e vulnerabilidade em VSCode/Cursor, qualquer protocolo que compartilhe fornecedores de supply chain de software, bibliotecas de dependências ou contribuidores com a Drift enfrenta exposição potencial ao mesmo vetor. A Microsoft já publicou mitigações nas versões 1.109 e 1.110 do VSCode, mas protocolos que não atualizaram seus ambientes de desenvolvimento permanecem vulneráveis.
- ‘Risco de Fuga Estrutural de TVL’: Monitorar o TVL total em protocolos Solana DeFi via DeFiLlama semanalmente. Queda acima de 20% em sete dias consecutivos após o exploit sinaliza saída estrutural de liquidez institucional – não apenas reação de varejo – e pode desencadear espiral de liquidações em protocolos interconectados. Esse limiar foi atingido em ecossistemas após exploits comparáveis no passado e demora meses para ser revertido.
- ‘Risco de Lavagem via Mixer’: Grupos afiliados à Coreia do Norte historicamente movem fundos roubados através de bridges cross-chain seguidas de interação com protocolos de privacidade ou equivalentes ao Tornado Cash. Se os fundos drenados da Drift alcançarem a rede Ethereum e passarem por mixers antes que emissores de stablecoins como Circle e Tether possam congelar os endereços identificados, a probabilidade de recuperação cai para próximo de zero – como ocorreu com a maioria dos fundos da Radiant Capital.
- ‘Risco de Resposta Regulatória Acelerada’: A atribuição do ataque a um ator estatal com técnicas de engenharia social em escala industrial fornece à CVM e ao Banco Central do Brasil – assim como ao FinCEN nos Estados Unidos e à ESMA na Europa – argumentos concretos para exigir padrões obrigatórios de controle de acesso, reporte de incidentes de segurança e vetting de parceiros para protocolos DeFi acima de determinados limites de liquidez. Regulação acelerada pode impor custos de compliance que alteram a viabilidade econômica de protocolos menores.
- ‘Risco de Contágio em Cascata’: Protocolos que utilizavam a Drift como contraparte – incluindo vaults conectados ao ecossistema Jupiter e ao token JLP – podem enfrentar impactos secundários dependendo da extensão do comprometimento de contratos interconectados. A auditoria forense completa ainda não foi concluída, e a extensão total do contágio on-chain permanece incerta até a publicação do relatório final da Mandiant.
O cenário é binário: se o vetor de ataque for completamente identificado e fechado, uma auditoria independente for publicada com escopo abrangente, e um plano de compensação concreto for anunciado pelo protocolo nas próximas semanas, a Drift tem precedentes históricos de recuperação parcial – exploits de magnitude comparável no passado resultaram em protocolos que sobreviveram, ainda que com TVL permanentemente reduzido. Caso contrário, com fundos já em movimento através de bridges e sem mecanismo de compensação definido, o protocolo enfrenta o risco de se tornar mais um capítulo encerrado na história do DeFi. Até lá, paciência é o único ativo que não desvaloriza.