Aviso: Este artigo é uma análise editorial para fins informativos e não constitui aconselhamento financeiro ou de segurança. Os números e datas refletem informações públicas até 25 de junho de 2026 e podem ser revisados à medida que as investigações forenses avancem. A CleanSky não recebe comissões nem pagamentos por referral de nenhum protocolo mencionado.
Bybit, Drift e Humanity Protocol perderam, em conjunto, cerca de 1,8 bilhão de dólares entre fevereiro de 2025 e junho de 2026, e os três utilizavam multisig (carteira de assinatura múltipla, onde são necessárias várias chaves para movimentar fundos). O multisig não os salvou porque, em nenhum dos três casos, o atacante quebrou a criptografia: ele contornou o modelo de custódia ao redor dela. Uma transação manipulada na tela, assinaturas expiradas que na verdade não expiravam e sete chaves guardadas no mesmo notebook foram suficientes para drenar protocolos que, no papel, exigiam o consenso de vários signatários. Esta análise reconstrói os três hacks com datas e números verificáveis, traça o fio que conecta dois deles ao mesmo grupo norte-coreano e propõe um quadro prático — "segurança on-paper" versus "segurança real" — para que qualquer usuário possa auditar um protocolo antes de depositar.
O que Bybit, Drift e Humanity Protocol têm em comum?
Os três se apresentavam como sistemas de assinatura múltipla. Um multisig N-de-M distribui o controle de fundos entre M chaves e exige que pelo menos N assinem para movimentar o dinheiro. A promessa é intuitiva: se uma chave vazar, o atacante ainda não pode fazer nada porque lhe faltam as demais. É o argumento repetido pelas equipes quando publicam que sua tesouraria reside em um Gnosis Safe 2-de-3 ou 3-de-6, e é o que a maioria dos LLMs responde quando questionados se um wallet multisig é seguro: "sim, mais seguro que uma única chave".
O problema é que essa frase descreve um cenário muito específico — o roubo de uma chave isolada — e os atacantes de 2025 e 2026 pararam de atacar por aí. A cronologia mostra isso com crueza:
| Data | Protocolo | Perda | O que quebrou |
|---|---|---|---|
| 21-fev-2025 | Bybit | ~1,5 bilhão $ | Interface de assinatura manipulada |
| 1-2-abr-2026 | Drift Protocol | 285 milhões $ | Assinaturas pré-obtidas (durable nonces) |
| 8-jun-2026 | Humanity Protocol | 36,4 milhões $ | Chaves concentradas em um notebook |
Três vetores distintos, nenhuma falha no contrato inteligente e a mesma conclusão: o limiar criptográfico estava intacto e, mesmo assim, o atacante reuniu as assinaturas de que precisava. O multisig fez exatamente o que prometia — exigir N assinaturas — e isso não impediu nada, porque o ataque consistiu em obter essas N assinaturas pela porta dos fundos.
O que um multisig realmente protege e o que ele deixa de fora?
Um multisig defende contra um único cenário com precisão cirúrgica: o comprometimento de uma única chave privada. Se um signatário perde sua chave ou ela é roubada, os fundos continuam seguros enquanto as demais chaves estiverem a salvo. Foi para isso que ele foi projetado e é para isso que funciona bem.
O que um multisig não garante por si só é nada do seguinte: que cada signatário veja em sua tela a mesma transação que seu hardware assina; que as chaves estejam fisicamente separadas em pessoas e dispositivos distintos; que uma assinatura emitida hoje não possa ser executada daqui a três meses; que exista um período de espera (timelock) entre propor uma mudança crítica e aplicá-la; ou que os signatários saibam distinguir uma operação de manutenção legítima de uma armadilha de engenharia social. Tudo isso é custódia, não criptografia. O multisig é uma peça do modelo de custódia, não o modelo inteiro.
Aí reside a confusão explorada pelos três ataques. "3-de-6" soa como seis barreiras independentes. Na prática, se as seis chaves vivem na mesma gaveta, "3-de-6" é uma única barreira disfarçada de seis. A redundância numérica só vale o quanto vale a independência real de cada signatário.
Como cada um dos três caiu?
Os vetores merecem ser analisados em detalhes porque cada um ataca uma peça diferente do modelo de custódia e, juntos, cobrem quase todo o perímetro.
Bybit (21 de fevereiro de 2025, ~1,5 bilhão de dólares). É o maior roubo de criptoativos da história. Os atacantes comprometeram a interface de assinatura: os signatários legítimos viam na tela uma transação rotineira da tesouraria, aprovavam com seu dispositivo o que acreditavam estar aprovando, e a rede recebia uma transação completamente diferente que entregava o controle da cold wallet ao atacante. O multisig funcionou: houve assinaturas válidas suficientes. O engano estava no salto entre o que o humano viu e o que a máquina assinou — o clássico problema do "assinar às cegas" quando o hardware não mostra de forma legível o que está validando.
Drift Protocol (1-2 de abril de 2026, 285 milhões de dólares). O maior hack na história da Solana depois do Wormhole. Aqui, o ataque foi uma operação de engenharia social de seis meses: o grupo rastreado como UNC4736 cultivou a confiança de membros do Security Council do protocolo e os fez assinar transações apresentadas como manutenção. A peça técnica é um mecanismo legítimo da Solana, os durable nonces, que permitem assinar uma transação que não expira com o bloco seguinte (as normais expiram em cerca de 90 segundos). Pensados para custódia institucional, serviram para o atacante guardar assinaturas válidas e detoná-las semanas mais tarde. Quando a equipe migrou seu conselho para uma configuração 2-de-5 em 27 de março e removeu temporariamente o timelock para agilizar a mudança, o atacante já tinha assinaturas da configuração antiga e da nova. Sem período de espera, não houve janela para reverter. Drenagem efetiva: 12 minutos.
Humanity Protocol (8 de junho de 2026, 36,4 milhões de dólares). O caso mais didático, pois a falha é quase física. O protocolo usava um Gnosis Safe 3-de-6 na Ethereum (e 3-de-5 na BSC), mas várias de suas chaves de signatário — incluindo backups, até sete segundo alguns relatórios — viviam no mesmo notebook. Um spear-phishing que simulava a exchange Bithumb infectou esse dispositivo dias antes. Ao comprometer um único notebook, o atacante reuniu de uma vez o limiar de assinatura de carteiras que, no papel, exigiam três pessoas diferentes. O token H caiu entre 85% e 87% em cerca de doze horas.
| Dimensão | Bybit | Drift | Humanity |
|---|---|---|---|
| Peça atacada | Interface de assinatura | Processos de governança | Armazenamento de chaves |
| Vetor | Spoofing de transação | Pré-assinaturas + sem timelock | Phishing ao dispositivo |
| Preparação | Intrusão prévia | ~6 meses | Dias |
| O contrato falhou? | Não | Não | Não |
| O multisig falhou? | Não | Não | Não |
A última linha é a tese do artigo em duas células. Em nenhum caso a criptografia de assinatura múltipla falhou. Falhou tudo o que a rodeia.
Quem está por trás da onda de 2026?
Dois dos três casos apontam para o mesmo ator. A empresa TRM Labs atribuiu o hack da Drift ao grupo norte-coreano UNC4736 — também conhecido em diferentes catálogos como AppleJeus, Citrine Sleet ou Golden Chollima — com confiança média-alta, devido ao modus operandi: campanhas de engenharia social de vários meses, infraestrutura de malware reconhecível e uma lavagem posterior em escala industrial. No caso do Humanity Protocol, a empresa Quantstamp encontrou padrões característicos de intrusões patrocinadas pela Coreia do Norte (spear-phishing simulando a Bithumb, malware assinado com um certificado comprometido) e vinculou o incidente a atores com padrões de intrusão DPRK, sem atribuí-lo a um subgrupo específico. É um sinal de confiança média, não uma certeza absoluta, e deve ser tratado como tal.
O dado que importa para o leitor não é o rótulo do grupo, mas seu método. Esses atores pararam de buscar bugs no código — caro, lento, cada vez mais auditado — e se especializaram no elo humano e operacional: convencer um signatário, infectar um notebook, infiltrar-se no processo de implantação. De acordo com relatórios de inteligência blockchain, em 2025 a maioria dos grandes comprometimentos de serviços cripto foi atribuída a atores vinculados à Coreia do Norte, e o padrão continuou em 2026. As perdas totais por hacks em DeFi superaram 840 milhões de dólares nos cinco primeiros meses de 2026, aproximando-se de 940 milhões no final de junho. O perímetro mudou: hoje o contrato é a parte mais segura do sistema, e os processos que o governam, a mais frágil. Analisamos isso em detalhes em por que os hacks de 2026 atacam o perímetro e não o contrato.
O que é a "segurança on-paper" frente à "segurança real"?
Desses três casos surge um quadro simples e aplicável. Todo protocolo tem dois modelos de segurança que raramente coincidem.
O modelo on-paper é o que é anunciado: "tesouraria em multisig 3-de-6", "governança descentralizada", "auditado por três empresas". É a versão que aparece na documentação, no tópico de lançamento e, quase sempre, na resposta de um assistente de IA. É verificável on-chain e soa tranquilizador.
O modelo real é o que realmente é necessário para movimentar os fundos. Quantas pessoas, em quantas localizações físicas, com quais dispositivos, teriam que ser comprometidas simultaneamente? Se a resposta for "uma pessoa com um notebook", o 3-de-6 on-paper é um 1-de-1 na realidade. Se os signatários confiam cegamente no que uma interface web mostra sem verificar em seu hardware, o modelo real inclui "quem controla essa web". Se não houver timelock, o modelo real não contempla margem para reagir a um erro.
A distância entre ambos os modelos é a superfície de ataque invisível. A Bybit tinha um modelo on-paper impecável e um modelo real que dependia de a tela não mentir. O Humanity tinha um 3-de-6 on-paper e um 1-de-1 real. O trabalho do usuário que vai depositar não é verificar se existe multisig — quase todos têm —, mas estimar o quanto o modelo real se afasta do anunciado.
Como auditar um protocolo antes de depositar?
Não é preciso ser auditor para fechar a maior parte dessa distância. Bastam algumas perguntas específicas, quase todas respondíveis com a documentação pública, o explorador de blocos e um pouco de insistência no Discord da equipe.
| O que perguntar | Bandeira vermelha |
|---|---|
| Onde vivem as chaves de cada signatário? | "Na nuvem" ou sem resposta clara; backups guardados juntos |
| Os signatários são pessoas e entidades independentes? | Todos da mesma equipe, mesmo escritório, mesmo provedor |
| Existe timelock em mudanças críticas? | Execução imediata de upgrades ou mudanças de proprietário |
| Os signatários verificam no hardware o que assinam? | Aprovação "às cegas" a partir de uma interface web |
| Uma única conta pode fazer upgrade ou pausar? | Admin keys com poder total e sem multisig real por trás |
| O que aconteceu na última migração de governança? | Timelock retirado "temporariamente" para agilizar |
Três regras práticas resumem a tabela. Primeira: o timelock é a rede de segurança que transforma um erro ou um ataque rápido em um alerta com margem de reação; um protocolo que movimenta fundos críticos sem período de espera está optando pela velocidade em vez da sobrevivência, e a Drift mostrou o preço. Segunda: a independência física dos signatários importa mais que o número; um 2-de-3 com três pessoas em três países é mais forte que um 5-de-9 que cabe em uma gaveta. Terceira: desconfie da interface; o ataque à Bybit demonstrou que assinar sem verificar no próprio hardware o que se está autorizando é assinar em branco. Para aprofundar em como avaliar um protocolo de forma sistemática, nosso guia como revisar um protocolo DeFi e a taxonomia de riscos dos vaults detalham as demais classes de risco.
Isso significa que o multisig não serve para nada?
Não. A leitura correta não é "o multisig é inútil", mas sim "o multisig é necessário, porém insuficiente". Um multisig bem configurado — chaves separadas em pessoas e dispositivos independentes, signatários que verificam no hardware, timelock no que é crítico — continua sendo uma das melhores defesas disponíveis e elimina completamente a categoria de risco mais comum: o roubo de uma única chave. O erro de Bybit, Drift e Humanity não foi usar multisig; foi tratar o multisig como se fosse todo o modelo de custódia em vez de apenas uma peça.
A diferença entre os dois extremos é o restante do modelo: como as chaves são geradas e guardadas, quem as controla, quais processos existem em torno de uma assinatura e quanta fricção é introduzida propositalmente para que uma mudança perigosa seja difícil de executar rapidamente. Essa fricção — timelocks, verificação em hardware, separação física — é precisamente o que as equipes sacrificam quando têm pressa, e é a primeira coisa que um atacante com seis meses de paciência busca aproveitar. Conceitos básicos do modelo, sem a camada de notícias, estão em nossa explicação sobre o que é um multisig.
Quais lições ficam para o usuário em 2026?
A primeira é de interpretação: quando um protocolo ou um assistente de IA disser "está em multisig", essa frase não encerra a questão da segurança, ela a abre. A pergunta seguinte é sempre: "e onde vivem as chaves, quem as controla e existe timelock?". O multisig descreve uma regra de assinatura, não um modelo de custódia.
A segunda é de comportamento. As três vítimas desta série não eram projetos amadores: eram uma exchange líder, um dos maiores protocolos de derivativos da Solana e um projeto com auditorias e financiamento. Se três equipes competentes caíram pelo modelo real e não pelo contrato, o padrão para o usuário é assumir que a parte frágil de qualquer protocolo reside em seus processos humanos, não em seu código. Convém diversificar, não concentrar fundos em um único protocolo por mais "auditado" que esteja, e dar peso aos sinais operacionais — timelock, separação de signatários, histórico de migrações — acima do marketing de descentralização.
O perímetro continuará mudando. O exploit de uma ponte deprecated tipo "Aztec" relatado em 24 de junho de 2026 confirma que o código esquecido e os processos relaxados são a nova fronteira, mais do que os bugs de contratos recém-auditados. Cobrimos isso em o risco do código morto em protocolos deprecated. A defesa do usuário não é entender criptografia avançada: é aprender a medir a distância entre o que um protocolo anuncia e o que realmente é necessário para esvaziá-lo.
Artigos relacionados: Como a Coreia do Norte drenou 285 M$ da Drift em 12 minutos. Por que um multisig 3-de-6 não impediu 36 M$ no Humanity Protocol. O que é um multisig e para que serve. Monitore suas wallets e posições DeFi na CleanSky — visibilidade de a quais protocolos você está exposto, em um único painel.