#DriftProtocolHacked #DriftProtocolHacked

Вишуканий напад із використанням фальшивого заставного забезпечення, попередньо підписаних транзакцій та тактик групи Лазаря з Північної Кореї знищив понад половину TVL Drift 1 квітня 2026 року.

Коротко про напад

1 квітня 2026 року найбільша децентралізована біржа ф’ючерсів безстрокового характеру на Solana, Drift Protocol, зазнала катастрофічної експлуатації, внаслідок якої було втрачено $286 мільйонів доларів у кількох сейфах активів.

Що робить цей напад особливо тривожним, так це те, що він не включав уразливість смарт-контракту або компрометацію seed-фраз. Замість цього зловмисники виконали ретельно сплановану операцію, яка поєднувала:

· Соціальну інженерію підписантів мульти-сигу
· Надійні попередньо підписані транзакції з використанням нонса
· Фальшиве створення заставного забезпечення вартістю $0 маніпульовано, щоб здаватися $100М+
· Усунення захисту за допомогою таймлоків

TVL обвалився з приблизно $550 мільйонів до менш ніж $250 мільйонів за годину. Токен DRIFT знизився на 45%, опустившись близько до $0.04.

---

Хронологія: операція тривалістю 3 тижні

Фаза 1: Налаштування інфраструктури (11-23 березня)

Операція розпочалася 11 березня, коли зловмисник вивів ETH з Tornado Cash, протоколу приватності. 12 березня вони розгорнули токен CarbonVote (CVT) — особливо о 09:00 за пхеньянським часом, що стало червоним прапорцем, який згодом пов’язав напад із Північною Кореєю.

Протягом наступних тижнів зловмисник:

· Виготовив 750 мільйонів токенів CVT (вартості фактично $0)
· Посіяв мінімальну ліквідність (~$500) на Raydium DEX
· Використовував wash-трейдинг для штучного підтримання ціни CVT біля $1.00
· Створив 4 надійні нонса — 2 прив’язані до підписантів Ради безпеки Drift, 2 під контролем зловмисника

Фаза 2: Попереднє підписання та компрометація мульти-сигу (23-30 березня)

За допомогою функції надійних нонса Solana (, яка дозволяє попередньо підписувати транзакції для їх подальшого виконання без терміну дії), зловмисник змусив членів Ради безпеки Drift попередньо підписати те, що здавалося рутинними транзакціями — але насправді були зловмисними ключами авторизації, що зберігалися в резерві.

27 березня Drift виконав заплановану міграцію мульти-сигу, перейшовши до порогу 2 з 5 підписів і — що критично — повністю видалив таймлок. Таймлок зазвичай змушує затримки від 24 до 72 годин для адміністрування, даючи спільнотам час на реагування. Без нього зловмисник отримав право на миттєве виконання транзакцій.

До 30 березня зловмисник відновив доступ до 2 з 5 підписантів у новій структурі мульти-сигу.

Фаза 3: Виконання — 12 хвилин до $286M (1 квітня)

Час (UTC)
Дія
16:05:39 Зловмисник активує попередньо підписані транзакції, позначає CVT як дійсне заставне забезпечення, підвищує ліміти зняття до ~500 трильйонів (фактично безмежно)
16:05:41 Вносить 500М токенів CVT — маніпулює значеннями оракула, оцінюючи їх у $100М+
16:05:43-16:17 31 транзакція зняття знімає реальні активи: JLP, USDC, SOL, cbBTC, wETH та інше

Весь процес озброєння зайняв менше часу, ніж замовлення кави.

Напад об’єднав три критичні дії в одну транзакцію:

1. Ініціалізація ринку CVT з оракулом Switchboard під контролем зловмисника
2. Встановлення ваги заставного забезпечення CVT на максимум — токени без цінності вважаються основним заставним забезпеченням
3. Вимкнення захистів зняття — усунення всіх обмежень на виведення активів

#DriftProtocolHacked

Що було вкрадено

Зловмисник зняв активи з кількох сейфів протоколу:

Актив Вкрадено (приблиз.)
Токени JLP $155.6 мільйонів
USDC $60.4 мільйонів
cbBTC $11.3 мільйонів
USDS $5.3 мільйонів
FARTCOIN $4.1 мільйонів
WBTC $4.4 мільйонів
WETH $4.7 мільйонів
JitoSOL $3.6 мільйонів
SYRUPUSDC $3.3 мільйонів
INF $2.5 мільйонів
MSOL $2.0 мільйонів

Джерело: дані з блокчейну через @officer_secret

Сейф JLP був повністю опустошений.
#DriftProtocolHacked

Хто стоїть за нападом?

Фірми з безпеки Elliptic і TRM Labs приписують напад угрупованню, пов’язаному з DPRK (Північною Кореєю), зокрема групі Лазаря.

Докази атрибуції включають:

· Початок з Tornado Cash для початкового етапу
· Час розгортання CVT збігається з робочими годинами Пхеньяна (09:00)
· Вишукані тактики соціальної інженерії — ідентичні хакінгу моста Ronin 2022 року
· Швидкість відмивання коштів після зламу та крос-ланцюгові шаблони
· Використання надійних нонса — відповідно до торгових прийомів DPRK

"Це була дуже вишукана операція, яка, ймовірно, тривала кілька тижнів підготовки та включала етапи виконання, зокрема використання надійних нонса для попереднього підписання транзакцій, що затримували їх виконання."
— Офіційна заява Drift Protocol

Якщо це підтвердиться, це стане 18-м крипто-зломом, пов’язаним із DPRK у 2026 році, з понад $300 мільйонами вкрадених** цього року. За оцінками, північнокорейські актори викрали понад $6.5 мільярдів у криптовалюті#DriftProtocolHacked