Exploit na Drift Levanta Bandeiras Vermelhas: Relatos de Rotatividade de Executivos e Mudança Significativa em Multisig Antes do Ataque

2 de abr. de 2026

Exploit na Drift Levanta Bandeiras Vermelhas: Relatos de Rotatividade de Executivos e Mudança Significativa em Multisig Antes do Ataque

Em 1º de abril de 2026, o ecossistema DeFi da Solana sofreu mais um abalo de credibilidade, com a Drift Protocol (um importante centro de negociação de perpétuos no ecossistema) confirmando um incidente de segurança ativo e interrompendo funções críticas enquanto investigadores rastreavam saídas de larga escala. Estimativas iniciais de monitoradores de segurança e relatórios da mídia variaram de US$ 200 milhões a aproximadamente US$ 285 milhões em ativos impactados, tornando-o um dos maiores exploits de DeFi de 2026 até o momento. (decrypt.co)

O que tornou este incidente especialmente perturbador não foi apenas o número de destaque, mas a lista crescente de anomalias "operacionais" discutidas na comunidade: autoridade de assinatura semelhante à de administrador sem um timelock, uma migração de multisig de última hora e rumores de mudanças na equipe perto da janela do evento. (tw.theblockbeats.news)

Este artigo detalha o que é conhecido atualmente, o que é meramente alegado e, o mais importante, o que os usuários de DeFi devem aprender com mais um lembrete de que sistemas "descentralizados" ainda podem falhar na camada de gerenciamento de chaves.

O que aconteceu (e o que podemos afirmar com responsabilidade hoje)

Relatórios públicos indicam que a Drift pausou depósitos e saques após a detecção de movimentos não autorizados de fundos, com vários veículos de comunicação citando estimativas acima de US$ 200 milhões e alguns citando cerca de US$ 285 milhões. (techcrunch.com)

No momento da escrita (2 de abril de 2026), a causa raiz completa ainda não foi conclusivamente estabelecida nesses relatórios. Essa incerteza é importante, pois as proteções ao usuário diferem drasticamente dependendo se o evento foi:

  • uma vulnerabilidade de smart contract,
  • uma chave privada comprometida / conjunto de signatários multisig,
  • um controle de governança ou autoridade de atualização,
  • ou uma combinação dos acima.

Na prática, o mercado tende a "precificar" o pior cenário sempre que há evidências credíveis de abuso de chaves poderosas — especialmente quando não há um mecanismo de atraso imposto para desacelerar os danos.

A principal preocupação: uma chave de assinatura poderosa sem um buffer de timelock

De acordo com um relatório da BlockBeats citando Omer Goldberg, fundador da Chaos Labs (um consultor de risco da Aave), a chave de assinatura do protocolo da Drift supostamente possuía múltiplos privilégios de alto impacto e, crucialmente, carecia de um timelock ou mecanismo de atraso semelhante. (tw.theblockbeats.news)

Por que isso é importante:

  • Se uma chave de assinatura pode alterar parâmetros críticos, desabilitar módulos de segurança ou redirecionar ativos, o comprometimento dessa chave pode parecer menos um "exploit" típico e mais um controle rápido e privilegiado.
  • Sem um timelock, usuários e integradores perdem a janela defensiva que muitas vezes faz a diferença entre um "incidente contido" e um "esgotamento total".

Um timelock não é uma palavra da moda; é um controle prático que introduz um atraso mínimo entre o agendamento de uma ação privilegiada e sua execução, dando ao ecossistema tempo para detectar e reagir. (docs.openzeppelin.com)

A migração do multisig "uma semana antes": por que os detalhes parecem anormais

A BlockBeats também relatou que, uma semana antes do incidente, a Drift migrou para uma nova conta multisig, criada por um signatário do multisig original. O relatório acrescenta um detalhe particularmente incomum: o criador não se adicionou como signatário no novo multisig, e o limite de assinatura foi alterado para 2 de 5 (1 signatário antigo + 4 novos signatários). (tw.theblockbeats.news)

Do ponto de vista da governança e segurança operacional, isso levanta várias questões que os investigadores geralmente fazem imediatamente:

  1. Por que migrar a custódia do multisig pouco antes de um incidente importante? Às vezes, é rotação de signatários de rotina. Às vezes, é uma resposta a um comprometimento suspeito. Às vezes, não é nada disso — e o momento é coincidência. Mas o tempo sempre merece escrutínio.

  2. Por que o criador do multisig se excluiria? Existem possibilidades benignas (por exemplo, um engenheiro de operações implantando infraestrutura para outros), mas é atípico o suficiente para aumentar a necessidade de explicações transparentes e auditáveis.

  3. Um limite de 2 de 5 é apropriado para permissões "críticas do protocolo"? Um limite menor pode reduzir o atrito operacional, mas também reduz o número de falhas independentes que um invasor precisa explorar. A segurança do multisig não é apenas matemática; é também a independência dos signatários, práticas de armazenamento de chaves e disciplina do processo de governança. (frameworks.securityalliance.org)

Em termos simples: quando as permissões mais poderosas de um protocolo se tornam executáveis por apenas duas aprovações — e não há timelocka segurança de todo o sistema torna-se intimamente ligada ao gerenciamento de chaves humanas.

Rumores de rotatividade de executivos / equipe principal: por que "risco de pessoas" faz parte do risco on-chain

O mesmo item da BlockBeats observa discussões na comunidade de que um membro principal da equipe da Drift pode ter saído no mês anterior, levantando preocupações sobre gerenciamento interno, transferência de chaves e controles de risco. (tw.theblockbeats.news)

Isso não se trata de fofoca — é sobre um modo de falha bem conhecido na segurança cripto:

  • Desvio de função (role drift) (pessoas mudam de função, saem ou perdem acesso, enquanto as permissões permanecem) pode criar pontos únicos de falha invisíveis.
  • No pior cenário, a custódia das chaves torna-se incerta precisamente quando a clareza é mais necessária (resposta a incidentes, rotação de signatários, decisões de pausa de emergência).

Mesmo quando multisig é usado, o "limite de segurança" ainda pode colapsar se a seleção de signatários, documentação e desligamento não forem tratados como um processo operacional de alto risco.

Tendência 2025 – 2026: O recorrente "reality check da chave de administrador" do DeFi

Durante o último ciclo, o DeFi tornou-se mais rápido, mais componível e mais próximo das instituições — mas a segurança do protocolo ainda é repetidamente minada por autoridade de atualização centralizada e papéis privilegiados. Os programas Solana, em particular, geralmente retêm autoridade de atualização, a menos que seja explicitamente restringida ou renunciada, razão pela qual o "risco da chave de administrador" permanece um item central de due diligence para qualquer participante sério do DeFi. (solana.com)

O incidente da Drift, portanto, é melhor entendido não como um evento isolado, mas como parte de um padrão mais amplo:

  • Contratos inteligentes podem ser auditados; o gerenciamento de chaves operacionais é mais difícil de verificar continuamente de fora.
  • Multisig não é automaticamente "descentralizado"; sua segurança depende da independência dos signatários, escolhas de limites e salvaguardas como timelocks e monitoramento.
  • À medida que o TVL retorna a estratégias de alta velocidade em 2026, os invasores seguem a liquidez — especialmente onde ações privilegiadas podem ser executadas rapidamente.

O que os usuários devem fazer após incidentes como o da Drift (checklist prático)

Se você usou a Drift direta ou indiretamente (através de vaults, integrações ou produtos de estratégia DeFi da Solana), trate a situação como um lembrete para executar um playbook de risco mais rigoroso:

1) Verifique novamente a exposição indireta

Mesmo que você nunca tenha depositado na Drift, você pode ter exposição através de vaults integrados ou produtos de estratégia que roteiam fundos para protocolos de terceiros. Declarações públicas de outros projetos da Solana mostram o quão rapidamente "não afetado" versus "parcialmente afetado via um vault" pode divergir. (tw.theblockbeats.news)

2) Reduza aprovações "sempre ativas" e assinaturas cegas

Muitas drenagens se intensificam quando usuários (ou operadores) assinam mensagens ou transações sob pressão. Prefira configurações onde as aprovações são minimizadas, com tempo limitado e fáceis de revogar.

3) Mantenha fundos de longo prazo fora de hot wallets usadas para DeFi

Separe carteiras por finalidade:

  • uma "carteira de negociação" para uso regular em DeFi,
  • e uma "carteira vault" para armazenamento de longo prazo.

Isso não impede exploits em nível de protocolo, mas reduz o raio de explosão de phishing, dApps maliciosos e aprovações acidentais durante ciclos de notícias caóticos.

Onde uma hardware wallet como a OneKey se encaixa nesta história (e onde não se encaixa)

Uma hardware wallet não pode consertar um protocolo que já está comprometido. Mas os sinais de alerta relatados pela Drift — chaves poderosas, mudanças em multisig e a possibilidade de falha no gerenciamento de chaves — destacam por que a disciplina na custódia de chaves permanece inegociável para usuários e equipes.

Se você é um usuário de DeFi (ou signatário de multisig):

  • Usar uma hardware wallet ajuda a manter as chaves privadas isoladas de navegadores, extensões e ambientes comprometidos com malware.
  • A verificação clara de transações no dispositivo pode reduzir a probabilidade de aprovar a ação errada durante momentos de alto estresse (um fator comum durante as janelas "ao vivo" de exploits).
  • Para equipes, segregar dispositivos de signatários e impor procedimentos de assinatura consistentes é uma expectativa básica quando protocolos controlam grandes pools de fundos de usuários.

A OneKey é amplamente utilizada em fluxos de trabalho crypto-native para assinatura segura em cadeias principais, tornando-a uma opção prática para usuários que desejam fortalecer a autogestão (self-custody) sem alterar fundamentalmente como o DeFi funciona.

Pensamento final: A segurança do DeFi é cada vez mais "segurança de governança"

O exploit da Drift ainda está sendo analisado, mas as lições já são familiares: as vulnerabilidades mais perigosas não são frequentemente quebras criptográficas exóticas — são controles de alto privilégio executados muito rapidamente, com pouca fricção e pouco tempo para o público reagir. (tw.theblockbeats.news)

Para os usuários em 2026, "Qual cadeia?" importa menos do que:

  • Quem pode mudar as regras?
  • Quão rápido eles podem fazer isso?
  • Quais mecanismos dão aos usuários tempo para sair se algo der errado?

Até que timelocks, governança multisig transparente e restrições de atualização verificáveis se tornem padrão, todo participante sério de DeFi deve presumir que o risco do protocolo também é risco de gerenciamento de chaves — e planejar de acordo. (docs.openzeppelin.com)

Proteja sua jornada criptográfica com o OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

A carteira de hardware mais avançada do mundo.

View details for Baixar aplicativoBaixar aplicativo

Baixar aplicativo

Alertas de golpe. Todas as moedas suportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clareza Cripto—A uma chamada de distância.