Група Lazarus КНДР підозрюється у крадіжці $286 мільйонів Solana з Drift Protocol
Drift Protocol, найбільша децентралізована біржа безстрокових ф'ючерсів у мережі Solana, підтвердила експлойт після того, як її загальна заблокована вартість (TVL) впала приблизно з $550 мільйонів до менш ніж $250 мільйонів за один ранок, зараз становить $232 мільйони. Bitcoin.com News першим повідомив про цю проблему. Токен DRIFT впав на 37%–42% протягом наступних годин, досягнувши дна близько $0,04–$0,05.
Звіти відзначають, що атака почалася не з помилки коду, а з виведення через Tornado Cash. 11 березня зловмисник вивів ETH з протоколу конфіденційності на основі блокчейн Ethereum і використав ці кошти для розгортання токена carbonvote, або CVT, 12 березня. Аналітики блокчейну відзначили, що мітка часу розгортання відповідала приблизно 09:00 за пхеньянським часом, деталь, яка негайно викликала підозри.
Токен DRIFT 3 квітня 2026 року.Кілька звітів деталізують, що протягом наступних трьох тижнів зловмисник створив мінімальну ліквідність для CVT на децентралізованій біржі Raydium і використовував вош-трейдинг для підтримки ціни близько $1,00. Оракули Drift сприйняли цю ціну як легітимну. Зловмисник створив фальшиве забезпечення, яке виглядало реальним для кожної автоматизованої системи, що його відстежувала.
«Сьогодні рано зловмисник отримав несанкціонований доступ до Drift Protocol через нову атаку з використанням durable nonces, що призвело до швидкого захоплення адміністративних повноважень Ради безпеки Drift», — написала команда Drift.
Акаунт проєкту в X додав:
Начебто між 23 і 30 березня зловмисник Drift перейшов до людського рівня. Використовуючи легітимну функцію Solana під назвою durable nonces, зловмисник нібито спонукав членів мультипідпису Ради безпеки Drift попередньо підписати транзакції, які виглядали рутинними. Ці підписи стали попередньо схваленими ключами доступу, збереженими в резерві до того моменту, коли зловмисник був готовий.
Відкрита можливість закрилася 27 березня, коли Drift перенесла свою Раду безпеки на поріг підпису 2 з 5 і повністю видалила timelock. Timelock зазвичай примушує затримку на 24–72 години для адміністративних дій, даючи спільноті час виявити і скасувати будь-що підозріле. Без нього зловмисник мав повноваження на виконання без затримки. Попередньо підписані транзакції стали активними в момент зникнення timelock.
1 квітня зловмисник активував ці транзакції, додав CVT як дійсне забезпечення, підвищив ліміти зняття коштів і депонував сотні мільйонів токенів CVT, проти яких система управління ризиками Drift видала реальні активи. Протокол передав мільйони токенів JLP, мільйони USDC, мільйони SOL і менші суми wrapped bitcoin та ethereum. Тридцять одна транзакція зняття була виконана приблизно за 12 хвилин.
Зловмисник конвертував викрадені токени в USDC, використовуючи Jupiter, переправив на Ethereum і обміняв на десятки тисяч ETH. Частина коштів була спрямована через Hyperliquid, а частка переміщена безпосередньо на Binance. 3 квітня Drift надіслав ончейн-повідомлення з адреси Ethereum на чотири контрольовані хакерами гаманці. Видання cryptonomist.ch повідомляє, що повідомлення містило:
Компанії з безпеки Elliptic та TRM Labs приписали атаку суб'єктам загроз, пов'язаним з КНДР, посилаючись на походження Tornado Cash, мітку часу розгортання за пхеньянським часом, фокус на соціальній інженерії та швидкість відмивання після злому. Група Lazarus використовувала той самий підхід терпіння та націлювання на людей у зломі мосту Ronin 2022 року. Уряд США пов'язав ці крадіжки з фінансуванням програми озброєнь Північної Кореї, а Elliptic відстежив понад $300 мільйонів, вкрадених лише в першому кварталі 2026 року.
Зараження поширилося на понад 20 протоколів. Prime Numbers Fi повідомив про втрати в мільйони. Carrot Protocol призупинив функції mint та redeem після того, як постраждало 50% його TVL. Pyra Protocol повністю відключив зняття коштів, зробивши всі кошти користувачів недоступними. Piggybank втратив $106 000 і відшкодував користувачам з власної казни команди.
DeFi Development Corp., компанія, що котирується на Nasdaq, зі стратегією казначейства Solana, підтвердила 1 квітня, що не має експозиції Drift. Її структура ризиків повністю виключала протокол. Цей факт привернув більше уваги, ніж компанія, ймовірно, мала намір.
Інцидент Drift дав один чіткий урок, який більша частина індустрії вже знала, але не повністю застосувала: timelock не є опціональним. Видалення цього єдиного захисту 27 березня перетворило складну, багатотижневу атаку на 12-хвилинне виведення готівки. Управління протоколом без механізму затримки — це управління з відчиненими дверима.
Наступні 48 годин після атаки на DeFi були описані як критичні для здатності Drift зберегти довіру користувачів і окреслити шлях відновлення. Станом на 3 квітня жодного комплексного плану відшкодування не було оголошено.
FAQ 🔎
- Що сталося з Drift Protocol? Зловмисники вивели $286 мільйонів з Drift Protocol 1 квітня 2026 року, використовуючи фальшиве забезпечення та попередньо підписані адміністративні транзакції для спорожнення основних сховищ протоколу за 12 хвилин.
- Хто відповідальний за злом Drift Protocol? Компанії з безпеки, включаючи Elliptic та TRM Labs, приписали атаку суб'єктам загроз, пов'язаним з КНДР, посилаючись на патерни відмивання та ончейн-мітки часу, що відповідають методам роботи групи Lazarus.
- Чи безпечні мої гроші на Drift Protocol? Drift призупинив усі депозити та зняття коштів після атаки; користувачі постраждалих протоколів, таких як Pyra та Carrot, залишаються неспроможними отримати доступ до коштів станом на 3 квітня 2026 року.
- Що таке атака durable nonce в Solana DeFi? Атака durable nonce використовує легітимну функцію Solana для попереднього підпису транзакцій, які виглядають рутинними, утримуючи їх як активні ключі авторизації, доки зловмисник не вирішить їх виконати.
Джерело: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
