No dia 1 de abril de 2026, o Drift Protocol, o maior mercado descentralizado de contratos perpétuos do ecossistema Solana, sofreu um roubo de aproximadamente 285 milhões USD em ativos de utilizadores em apenas 12 minutos. Este incidente representa a segunda maior violação de segurança na história da Solana. Poucos dias depois, o validador Vet do XRP Ledger emitiu um alerta nas redes sociais: este ataque serve de lição crucial para os programadores do ecossistema XRP—ameaças semelhantes de engenharia social podem atingir qualquer rede cripto.
Como é que uma "operação de inteligência" de seis meses conseguiu ultrapassar as defesas multisig?
O núcleo do ataque ao Drift não foi uma vulnerabilidade de smart contract, mas sim uma campanha estruturada de engenharia social que se prolongou por seis meses. Segundo a investigação oficial do Drift, os atacantes iniciaram a operação já no outono de 2025. Fizeram-se passar por representantes de uma empresa de trading quantitativo e abordaram colaboradores do Drift em várias conferências internacionais de criptomoedas. Nos seis meses seguintes, construíram relações pessoais com os seus alvos, participaram em reuniões presenciais, criaram grupos no Telegram para discutir estratégias de trading e chegaram mesmo a depositar mais de 1 milhão USD dos seus próprios fundos no tesouro do ecossistema Drift para ganhar credibilidade. No final, os atacantes infiltraram-se no projeto através de dois vetores: um colaborador clonou um repositório de código malicioso que explorava uma vulnerabilidade conhecida do VSCode, enquanto outro descarregou uma aplicação TestFlight disfarçada de "produto de carteira", que era, na verdade, malware.
Porque é que o "abuso de funcionalidades legítimas" foi o verdadeiro avanço técnico?
Os atacantes não descodificaram nenhuma chave privada nem exploraram bugs no código. O verdadeiro avanço esteve na funcionalidade "durable nonce" da Solana—uma função que permite que transações pré-assinadas permaneçam válidas durante semanas. Após obterem autorização dos assinantes multisig através de engenharia social, os atacantes pré-assinaram transações maliciosas e executaram-nas de imediato assim que tinham permissões suficientes, deixando praticamente sem tempo de resposta os defensores. Importa referir que a arquitetura multisig do Drift tinha o timelock definido para zero segundos, o que significava que, assim que dois assinantes aprovavam, a transação era executada de imediato, ampliando ainda mais a janela de ataque. O Drift sublinhou posteriormente que todos os membros multisig utilizavam carteiras frias, mas isso não impediu o ataque, demonstrando que, quando o alvo é o elemento humano, nem mesmo controlos rigorosos de hardware são suficientes.
Porque é que os validadores do XRP Ledger emitem alertas específicos sobre ameaças entre ecossistemas?
O alerta do validador Vet do XRP Ledger foi tudo menos genérico. Destacou que todos os principais projetos ligados ao XRP detêm acesso a contas operacionais, permissões de merge em repositórios de código e credenciais de sistemas backend—"só os suficientemente cautelosos sobreviverão". Vet salientou ainda dois fatores estruturais que amplificam o risco no XRPL: em primeiro lugar, o aumento do número de programadores oriundos de projetos de "vibe coding", onde a sensibilização para a segurança e os padrões operacionais são difíceis de assegurar; em segundo, o crescente número de eventos offline do XRP, que proporcionam oportunidades naturais para ataques de engenharia social. Estas características refletem de perto os métodos usados no ataque ao Drift, onde a confiança foi construída através de encontros presenciais.
Estarão as fronteiras difusas entre confiança on-chain e off-chain a tornar-se um ponto cego para todo o setor?
Vitalik Buterin já referiu que as garantias criptográficas da blockchain limitam-se à camada de consenso, enquanto as atividades off-chain—como feeds de oráculos, decisões de governance e restaking—dependem inteiramente da integridade dos validadores, e não de enforcement algorítmico. O caso do Drift é um exemplo prático desta afirmação: os atacantes não violaram a blockchain em si, mas exploraram as "pessoas"—o juízo e as ações dos assinantes multisig. No ecossistema XRPL, os validadores são nós centrais do consenso da rede e os seus limites de segurança estendem-se ao off-chain: gestão de contas operacionais, segurança de credenciais backend e permissões de merge em repositórios de código. Se algum destes elos de "confiança off-chain" falhar, a segurança dos ativos on-chain colapsa.
Com hackers patrocinados por Estados a adotarem engenharia social como arma padrão, como devem evoluir as defesas entre ecossistemas?
O incidente do Drift foi atribuído, com "confiança média-alta", ao grupo de hackers UNC4736, associado à Coreia do Norte, que também orquestrou o ataque de 58 milhões USD ao Radiant Capital em outubro de 2024. Os métodos e fluxos de fundos desta operação apresentam sobreposições identificáveis com casos anteriores. Isto sinaliza que os protocolos DeFi enfrentam agora não apenas hackers isolados, mas organizações profissionais com recursos estatais, capazes de investir meses em operações de "inteligência humana". O alerta do validador do XRPL é, essencialmente, um aviso a todo o setor: as ameaças de segurança entre ecossistemas deixaram de ser hipotéticas—são uma realidade em expansão.
Estarão as tendências de segurança cross-chain em 2026 a preparar terreno para o próximo grande ataque?
Em 2025, mais de 2 010 milhões USD em fundos roubados foram branqueados através de pontes cross-chain, representando 49,75 % do total de perdas anuais. No caso do Drift, os atacantes transferiram a maioria dos fundos roubados da Solana para a Ethereum através do protocolo de transferência cross-chain da Circle, convertendo-os depois em ETH. A complexidade dos mecanismos de validação das pontes cross-chain e a falta de padrões de segurança uniformes no setor estão a emergir como vulnerabilidades centrais que ameaçam a estabilidade do ecossistema cripto. No XRPL, à medida que a interoperabilidade cross-chain aumenta, canais de transferência semelhantes podem também tornar-se "autoestradas" para branqueamento e fuga de fundos por parte de atacantes.
Dos alertas dos validadores à reflexão do setor: deverá o foco defensivo passar do "reforço técnico" para a "segurança operacional"?
A lição mais profunda do incidente Drift é esta: o paradigma tradicional de defesa baseado em "auditorias de código + governance multisig" falha estruturalmente perante a variável "humana". A afirmação do validador Vet do XRPL de que "só os suficientemente cautelosos sobreviverão" não é alarmista—é um aviso sério sobre segurança operacional. Do ponto de vista estratégico, o setor poderá ter de evoluir em três frentes: primeiro, validadores e colaboradores centrais devem implementar formação especializada para identificar ataques de engenharia social; segundo, as arquiteturas multisig devem introduzir "timelocks" ou períodos de espera obrigatórios para bloquear a execução instantânea de transações pré-assinadas; terceiro, a partilha de informação e colaboração em inteligência de ameaças entre ecossistemas deve institucionalizar-se, permitindo que alertas de um ecossistema cheguem rapidamente a outros.
Conclusão
O alerta de ameaça de engenharia social emitido pelos validadores do XRP Ledger na sequência do ataque ao Drift não é um evento isolado de um só ecossistema—é um teste de stress à resiliência das defesas de segurança de toda a indústria cripto. Quando hackers patrocinados por Estados combinam engenharia social com abuso de funcionalidades legítimas do protocolo, e quando a "confiança off-chain" se torna um elo mais fraco do que as vulnerabilidades dos smart contracts, qualquer perímetro de segurança pode ruir devido ao erro de julgamento de um único colaborador. A resposta do setor deve ir além de remendos técnicos, focando-se antes no reforço sistemático da cultura de segurança operacional, redundância de governance e colaboração precoce de alerta entre ecossistemas.
Perguntas Frequentes
P: O que é a funcionalidade "durable nonce" e como foi explorada pelos atacantes?
A durable nonce é uma funcionalidade legítima do protocolo Solana que permite que as transações utilizem uma conta de nonce fixa em vez de um block hash com expiração, tornando possível que transações pré-assinadas permaneçam válidas durante semanas. Após obterem autorização dos assinantes multisig através de engenharia social, os atacantes usaram esta funcionalidade para pré-assinar transações maliciosas, executando-as de imediato assim que tinham permissões suficientes e contornando a janela temporal tradicional do multisig.
P: O ecossistema XRP Ledger apresenta vulnerabilidades estruturais semelhantes às exploradas no ataque ao Drift?
O validador Vet do XRP Ledger refere que os principais projetos do ecossistema XRPL possuem normalmente acesso a contas operacionais e permissões de merge em repositórios de código, o que apresenta perfis de risco semelhantes aos "dispositivos de colaboradores" comprometidos no ataque ao Drift. Além disso, o aumento de eventos offline do XRPL proporciona mais oportunidades para engenharia social.
P: Como podem os validadores defender-se de ataques de engenharia social semelhantes?
As principais medidas incluem a implementação de autenticação multifator e ambientes operacionais isolados por hardware; revisão rigorosa das atividades de clonagem de repositórios de código; realização de programas de formação para reconhecer ataques de engenharia social; introdução de timelocks obrigatórios na governance multisig; e rotação e auditoria regulares das permissões críticas.
P: Qual é o papel das pontes cross-chain nos incidentes de segurança?
As pontes cross-chain são atualmente um dos principais canais utilizados por hackers para branqueamento de capitais. No caso do Drift, mais de 230 milhões USD em fundos roubados foram transferidos da Solana para a Ethereum através de protocolos de transferência cross-chain. A complexidade e a falta de padrões de segurança uniformes nas validações das pontes tornam-nas ferramentas importantes para movimentação e ocultação de fundos por parte dos atacantes.
P: Como é que este incidente afetou o desempenho de mercado do XRP?
A 7 de abril de 2026, segundo dados de mercado da Gate, o XRP está a negociar a 1,312 USD. Este artigo não apresenta previsões de preço; os utilizadores devem avaliar autonomamente os riscos associados.
