Grupa Lazarus z KRLD podejrzana o kradzież 286 milionów dolarów w Solana z Drift Protocol
Drift Protocol, największa zdecentralizowana giełda kontraktów wieczystych w sieci Solana, potwierdziła exploit po obserwowaniu, jak jej całkowita zablokowana wartość (TVL) spadła z około 550 milionów dolarów do poniżej 250 milionów dolarów w ciągu jednego poranka, osiągając obecnie 232 miliony dolarów. Bitcoin.com News jako pierwszy poinformował o tym problemie. Token DRIFT spadł nawet o 37%–42% w kolejnych godzinach, osiągając najniższy poziom około 0,04–0,05 dolara.
Raporty wskazują, że atak rozpoczął się nie od błędu w kodzie, ale od wypłaty z Tornado Cash. 11 marca atakujący wypłacił ETH z protokołu prywatności opartego na Ethereum i użył tych środków do wdrożenia tokena carbonvote, czyli CVT, 12 marca. Analitycy blockchain zauważyli, że znacznik czasu wdrożenia odpowiadał około 09:00 czasu pjongjanskiego, co od razu wzbudziło podejrzenia.
token DRIFT 3 kwietnia 2026 r.Kilka raportów szczegółowo opisuje, że w ciągu następnych trzech tygodni atakujący zapewnił minimalną płynność dla CVT na zdecentralizowanej giełdzie Raydium i używał wash tradingu, aby utrzymać cenę w pobliżu 1,00 dolara. Wyrocznie Drift odczytały tę cenę jako legalną. Atakujący zbudował fałszywe zabezpieczenie, które wyglądało realnie dla każdego automatycznego systemu go monitorującego.
„Wcześniej dzisiaj złośliwy aktor uzyskał nieautoryzowany dostęp do Drift Protocol poprzez nowatorski atak wykorzystujący trwałe nonce, co skutkowało szybkim przejęciem uprawnień administracyjnych Rady Bezpieczeństwa Drift" – napisał zespół Drift.
Konto X projektu dodało:
Pozornie, między 23 a 30 marca, atakujący Drift przeszedł na warstwę ludzką. Korzystając z legalnej funkcji Solana zwanej trwałymi nonce, atakujący podobno nakłonił członków multisig Rady Bezpieczeństwa Drift do wstępnego podpisania transakcji, które wydawały się rutynowe. Te podpisy stały się wstępnie zatwierdzonymi kluczami dostępu, trzymanymi w rezerwie, aż atakujący był gotowy.
Okazja zamknęła się 27 marca, kiedy Drift przeniósł swoją Radę Bezpieczeństwa do progu podpisu 2 z 5 i całkowicie usunął timelock. Timelock zazwyczaj wymusza opóźnienie od 24 do 72 godzin w działaniach administracyjnych, dając społeczności czas na wykrycie i cofnięcie czegokolwiek podejrzanego. Bez niego atakujący miał uprawnienia do wykonania bez opóźnienia. Wstępnie podpisane transakcje były aktywne w momencie usunięcia timelocka.
1 kwietnia atakujący aktywował te transakcje, umieścił CVT jako ważne zabezpieczenie, podniósł limity wypłat i zdeponował setki milionów tokenów CVT, przeciwko którym silnik ryzyka Drift wydał prawdziwe aktywa. Protokół przekazał miliony tokenów JLP, miliony USDC, miliony SOL oraz mniejsze ilości wrapped bitcoin i ethereum. Trzydzieści jeden transakcji wypłat zostało zrealizowanych w około 12 minut.
Atakujący przekonwertował skradzione tokeny na USDC za pomocą Jupiter, przeniósł je do Ethereum i zamienił na dziesiątki tysięcy ETH. Niektóre środki zostały przekierowane przez Hyperliquid, a część przeniesiono bezpośrednio do Binance. 3 kwietnia Drift wysłał wiadomość onchain z adresu Ethereum do czterech portfeli kontrolowanych przez hakera. Publikacja cryptonomist.ch donosi, że wiadomość brzmiała:
Firmy zajmujące się bezpieczeństwem Elliptic i TRM Labs przypisały atak podmiotom zagrożenia powiązanym z KRLD, powołując się na pochodzenie z Tornado Cash, sygnaturę wdrożenia w czasie pjongjanskim, skupienie się na inżynierii społecznej i szybkość prania pieniędzy po hacku. Grupa Lazarus zastosowała to samo cierpliwe podejście ukierunkowane na ludzi w hacku mostu Ronin z 2022 roku. Rząd USA powiązał te kradzieże z finansowaniem programu uzbrojenia Korei Północnej, a Elliptic śledził ponad 300 milionów dolarów skradzionych tylko w pierwszym kwartale 2026 roku.
Zarażenie rozprzestrzeniło się na ponad 20 protokołów. Prime Numbers Fi zgłosił straty w milionach. Carrot Protocol wstrzymał funkcje mint i redeem po tym, jak 50% jego TVL zostało dotknięte. Pyra Protocol całkowicie wyłączył wypłaty, pozostawiając wszystkie środki użytkowników niedostępne. Piggybank stracił 106 000 dolarów i zwrócił użytkownikom pieniądze z własnego skarbca zespołu.
DeFi Development Corp., firma notowana na Nasdaq ze strategią skarbca Solana, potwierdziła 1 kwietnia, że nie ma ekspozycji na Drift. Jego ramy ryzyka całkowicie wykluczały protokół. Ten fakt przyciągnął większą uwagę, niż firma prawdopodobnie zamierzała.
Incydent z Drift przyniósł jedną wyraźną lekcję, którą większość branży już znała, ale nie w pełni zastosowała: timelock nie jest opcjonalny. Usunięcie tego pojedynczego zabezpieczenia 27 marca przekształciło złożony, wielotygodniowy atak w 12-minutową wypłatę gotówki. Zarządzanie protokołem bez mechanizmu opóźnienia to zarządzanie z otwartymi drzwiami.
Następne 48 godzin po ataku DeFi zostało opisanych jako kluczowe dla zdolności Drift do zachowania zaufania użytkowników i nakreślenia ścieżki odzyskiwania. Na dzień 3 kwietnia nie ogłoszono kompleksowego planu zwrotu pieniędzy.
FAQ 🔎
- Co się stało z Drift Protocol? Atakujący wypompowali 286 milionów dolarów z Drift Protocol 1 kwietnia 2026 r., używając fałszywego zabezpieczenia i wstępnie podpisanych transakcji administracyjnych, aby opróżnić główne skarbce protokołu w 12 minut.
- Kto jest odpowiedzialny za hack Drift Protocol? Firmy zajmujące się bezpieczeństwem, w tym Elliptic i TRM Labs, przypisały atak podmiotom zagrożenia powiązanym z KRLD, powołując się na wzorce prania pieniędzy i znaczniki czasu onchain zgodne z taktyką grupy Lazarus.
- Czy moje pieniądze są bezpieczne na Drift Protocol? Drift zawiesił wszystkie depozyty i wypłaty po ataku; użytkownicy w dotkniętych protokołach, takich jak Pyra i Carrot, pozostają niezdolni do uzyskania dostępu do środków na dzień 3 kwietnia 2026 r.
- Co to jest atak trwałego nonce w Solana DeFi? Atak trwałego nonce wykorzystuje legalną funkcję Solana do wstępnego podpisywania transakcji, które wyglądają na rutynowe, trzymając je jako klucze autoryzacji na żywo, dopóki atakujący nie zdecyduje się je wykonać.
Źródło: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
