Η μεγαλύτερη επίθεση DeFi φέτος έλαβε χώρα την περασμένη εβδομάδα την 1η Απριλίου, καθώς το Drift Protocol, ένα από τα μεγαλύτερα perp DEXs στο δίκτυο Solana, υπέστη εκμετάλλευση που είδε περίπου 286 εκατομμύρια δολάρια να εξαφανίζονται από το πρωτόκολλο. Η επίθεση συνδέθηκε με χάκερς που σχετίζονται με τη Βόρεια Κορέα και ολόκληρη η επίθεση διήρκεσε μόλις 10 δευτερόλεπτα. Αυτό που είναι εκπληκτικό για αυτή την επίθεση ήταν όμως η σχολαστική φύση της. Δεν σπάστηκε κανένας κώδικας και κανένα έξυπνο συμβόλαιο δεν είχε σφάλμα. Οι έρευνες από εταιρείες κρυπτογραφικής εγκληματολογίας όπως η Elliptic και η TRM Labs υποδεικνύουν στην πραγματικότητα μια πολύ πιο υπολογισμένη επίθεση.
Οι επιτιθέμενοι από τη Βόρεια Κορέα πέρασαν τρεις εβδομάδες κατασκευάζοντας ένα ψεύτικο token που ονομάζεται CarbonVote, προσθέτοντάς του μερικές χιλιάδες δολάρια για να φαίνεται πραγματικό, ενώ ταυτόχρονα χειραγωγούσαν κοινωνικά δύο από τους πέντε υπογράφοντες του Συμβουλίου Ασφαλείας multisig του Drift να προ-υπογράψουν κρυφές εξουσιοδοτήσεις που δεν κατανοούσαν πλήρως. Στη συνέχεια, χρησιμοποίησαν μια λειτουργία του Solana που ονομάζεται "durable nonces" για να κρατήσουν αυτές τις υπογραφές σε εφεδρεία για πάνω από μια εβδομάδα, περιμένοντας την κατάλληλη στιγμή. Το μόνο που χρειάστηκε ήταν μια μόνο συναλλαγή την 1η Απριλίου.
Όπως σημείωσε η Elliptic, αυτή η επίθεση ήταν η 18η επίθεση κρυπτονομισμάτων που συνδέεται με τη Βόρεια Κορέα μόνο φέτος, αφαιρώντας περίπου 300 εκατομμύρια δολάρια από τον χώρο. Τέσσερις ημέρες μετά την επίθεση, ο CTO της Ledger δήλωσε επίσημα για να τονίσει την ανησυχητική φύση της επίθεσης και ότι η τεχνητή νοημοσύνη μειώνει το κόστος τέτοιων επιθέσεων "στο μηδέν". Αυτή η δήλωση έχει μεγάλη σημασία επειδή η επίθεση στο Drift είναι μια μελέτη περίπτωσης για το πώς λειτουργούν τώρα αυτές οι επιχειρήσεις. Οι επιτιθέμενοι δεν χρειάστηκαν ευπάθεια μηδενικής ημέρας ή έναν κορυφαίο κρυπτογράφο. Το μόνο που χρειάστηκαν ήταν υπομονή, ένα πειστικό ψεύτικο token και δύο ανθρώπους που μπορούσαν να χειραγωγήσουν. Η επίθεση εξέθεσε στην πραγματικότητα δομική ευπάθεια στο DeFi όπως είναι σήμερα. Το DeFi χτίζει υποδομές δισεκατομμυρίων δολαρίων που εξασφαλίζονται από μικρές ομάδες ανθρώπων που μπορούν να εξαπατηθούν, ενώ οι αντίπαλοι γίνονται καλύτεροι στο να κάνουν ακριβώς αυτό.
Πώς η Βόρεια Κορέα Έκλεψε 286 Εκατομμύρια Δολάρια σε 10 Δευτερόλεπτα
Η επίθεση στο πρωτόκολλο Drift ήταν μια εξελιγμένη εκμετάλλευση που διήρκεσε τρεις εβδομάδες προετοιμασίας. Το Bloomberg ανέφερε πρώτο την παραβίαση την 1η Απριλίου, όταν το πρωτόκολλο Drift επιβεβαίωσε ότι περίπου 286 εκατομμύρια δολάρια σε περιουσιακά στοιχεία χρηστών είχαν αφαιρεθεί. Ολόκληρο το σχέδιο ξεκίνησε στην πραγματικότητα από τις 11 Μαρτίου, όταν ο επιτιθέμενος τράβηξε 10 ETH από το Tornado Cash γύρω στις 9 π.μ. ώρα Πιονγιάνγκ και το χρησιμοποίησε για να αναπτύξει το ψεύτικο token, CarbonVote (CVT), ένα εντελώς πλασματικό περιουσιακό στοιχείο που προσθέθηκε με μερικές χιλιάδες δολάρια σε ρευστότητα και διατηρήθηκε ζωντανό μέσω wash trading.
Κατά τη διάρκεια των επόμενων δύο εβδομάδων, μεταξύ 23 και 30 Μαρτίου, ο επιτιθέμενος άνοιξε λογαριασμούς durable nonce, ένα νόμιμο χαρακτηριστικό στο δίκτυο Solana που επιτρέπει τις συναλλαγές να προ-υπογράφονται και να διατηρούνται επ' αόριστον χωρίς να λήγουν. Κατά τη διάρκεια αυτού του διαστήματος, ο επιτιθέμενος χειραγώγησε κοινωνικά δύο από τους πέντε υπογράφοντες του Συμβουλίου Ασφαλείας multisig του Drift να εγκρίνουν συναλλαγές που φαίνονταν κανονικές, αλλά όπως επιβεβαίωσε αργότερα η TRM Labs, περιείχαν κρυφές εξουσιοδοτήσεις για κρίσιμο έλεγχο διαχειριστή.
Το τελικό κομμάτι έπεσε στις 27 Μαρτίου, όταν το Drift μετανάστευσε το Συμβούλιο Ασφαλείας του σε μια νέα διαμόρφωση κατωφλίου 2/5 με μηδενικό timelock όπως ανέφερε το BlockSec, το οποίο βασικά αφαίρεσε τη μόνη καθυστέρηση που θα επέτρεπε σε οποιονδήποτε να συλλάβει τι επρόκειτο να συμβεί. Μέχρι να έρθει η 1η Απριλίου, η παγίδα είχε φορτωθεί πλήρως εδώ και μέρες.
Την 1η Απριλίου, ο επιτιθέμενος χρησιμοποίησε αυτές τις προ-υπογεγραμμένες εγκρίσεις για να καταχωρίσει το CarbonVote ως έγκυρη εγγύηση, διόγκωσε την αξία του σε εκατοντάδες εκατομμύρια μέσω χειραγωγημένης τιμολόγησης oracle και κατελήφθη η διακυβέρνηση. Από εκεί, 31 συναλλαγές ανάληψης άδειασαν τα θησαυροφυλάκια του Drift σε λίγα δευτερόλεπτα. Το μεγαλύτερο κομμάτι μόνο περιλάμβανε πάνω από 155 εκατομμύρια δολάρια σε JLP tokens μαζί με δεκάδες εκατομμύρια σε USDC, SOL, ETH και άλλα liquid staking tokens που αποστραγγίστηκαν και το Total Value Locked στο πρωτόκολλο κατέρρευσε άμεσα από περίπου 550 εκατομμύρια δολάρια σε κάτω από 250 εκατομμύρια δολάρια.
Αυτή η ταχύτητα της επίθεσης είναι μόνο ένα μέρος αυτής της ιστορίας. Ένα λεπτομερές σχέδιο που διήρκεσε τρεις ολόκληρες εβδομάδες και κατέληξε σε μια επίθεση 10 δευτερολέπτων έδειξε πόσο εύκολα η διακυβέρνηση, όχι ο κώδικας, μπορεί να γίνει ο πιο αδύναμος κρίκος στο DeFi.
Ο Πόλεμος Κρυπτονομισμάτων 300 Εκατομμυρίων Δολαρίων της Βόρειας Κορέας το 2026
Αυτή η επίθεση, που φέρεται να διαπράχθηκε από επιτιθέμενους που συνδέονται με τη Βόρεια Κορέα, δεν είναι σε καμία περίπτωση ένα μεμονωμένο γεγονός. Στην πραγματικότητα, αν κοιτάξετε μερικές από τις πιο γνωστές επιθέσεις τα τελευταία χρόνια, γίνεται φανερό ότι αυτό είναι μέρος μιας πολύ μεγαλύτερης, κρατικά οδηγούμενης εκστρατείας. Μόνο φέτος, η Elliptic ανέφερε ότι η εκμετάλλευση του Drift την καθιστά την 18η κλοπή κρυπτονομισμάτων που αποδίδεται στη ΛΔΚΔ, ωθώντας το συνολικό ποσό των κεφαλαίων που αφαιρούνται πέρα από τα 300 εκατομμύρια δολάρια μέχρι στιγμής φέτος. Αν κοιτάξετε πέρα από φέτος, η κλίμακα τέτοιων επιθέσεων από μια μόνο χώρα γίνεται πολύ δύσκολο να αγνοηθεί. Πέρυσι, φορείς που συνδέονται με τη Βόρεια Κορέα έκλεψαν μεταξύ 1,92 δισεκατομμυρίων δολαρίων σύμφωνα με την TRM Labs, ενώ η Chainalysis θέτει αυτό το νούμερο στα 2,02 δισεκατομμύρια δολάρια σε κρυπτονομίσματα. Αυτό σήμανε άλμα 51% σε ετήσια βάση στις επιθέσεις που διεξάγει αυτή η ομάδα και ώθησε τη συνολική τους ληστεία στα 6,75 δισεκατομμύρια δολάρια.
Η Βόρεια Κορέα αντιπροσώπευσε ένα ρεκόρ 76% όλων των συμβιβασμών υπηρεσιών το 2025, που σημαίνει ότι μία χώρα είναι υπεύθυνη για τη συντριπτική πλειοψηφία των κλοπών που λαμβάνουν χώρα στη βιομηχανία. Σε αυτό το πλαίσιο, η επίθεση Drift, που είναι τώρα η δεύτερη μεγαλύτερη εκμετάλλευση εντός του οικοσυστήματος Solana μετά την παραβίαση Wormhole του 2022, ταιριάζει σε ένα μοτίβο επιθέσεων.
Αυτό που ορίζει αυτό το μοτίβο είναι η συνέπεια. Η επίθεση Bybit τον Φεβρουάριο 2025, η μεγαλύτερη κλοπή κρυπτονομισμάτων στην ιστορία, είχε σχεδόν πανομοιότυπες ρυθμίσεις που περιλάμβαναν κοινωνική μηχανική, συμβιβασμένη πρόσβαση και συντονισμένη ανταλλαγή κεφαλαίων. Η TRM Labs σημειώνει ότι οι χειριστές της ΛΔΚΔ βασίζονται όλο και περισσότερο σε δίκτυα "κινεζικού ξεπλύματος" για κεφάλαια που γεφυρώνονται σε διαφορετικά αλυσίδες εντός ωρών.
Η επίθεση Drift δείχνει στην πραγματικότητα ένα σύστημα κρατικά υποστηριζόμενων ομάδων που εκτελούν επιχειρήσεις πολλών εβδομάδων με αναγνώριση, ανθρώπινη χειραγώγηση και παγκόσμια υποδομή ξεπλύματος ήδη σε θέση.
Η Τεχνητή Νοημοσύνη Οδηγεί το Κόστος Επιθέσεων "Στο Μηδέν": Προειδοποιεί ο CTO της Ledger
Τέσσερις ημέρες μετά την αποστράγγιση του Drift, ο CTO της Ledger Charles Guillemet είπε στο CoinDesk κάτι που επαναπροσδιόρισε ολόκληρο το περιστατικό. "Η εύρεση ευπαθειών και η εκμετάλλευσή τους γίνεται πραγματικά, πραγματικά εύκολη", είπε. "Το κόστος πέφτει στο μηδέν." Ο Guillemet δεν κατονόμασε το Drift, αλλά περιέγραψε τους ακριβείς μηχανισμούς του. Η τεχνητή νοημοσύνη δεν βοηθά απλώς τους επιτιθέμενους να βρίσκουν σφάλματα κώδικα πιο γρήγορα, κάνει την κοινωνική μηχανική πιο πειστική, το phishing πιο προσωποποιημένο και την προπαρασκευαστική εργασία που οι χειριστές της Βόρειας Κορέας πέρασαν τρεις εβδομάδες κάνοντας στο Drift φθηνότερη και πιο επεκτάσιμη κατά μία τάξη μεγέθους. Επίσης υπέδειξε ένα σύνθετο πρόβλημα στην αμυντική πλευρά: καθώς περισσότεροι προγραμματιστές βασίζονται σε κώδικα που δημιουργείται από AI, οι ευπάθειες θα μπορούσαν να εξαπλωθούν πιο γρήγορα από ό,τι μπορούν να τις εντοπίσουν οι ανθρώπινοι ελεγκτές. "Δεν υπάρχει κουμπί 'κάντε το ασφαλές'", είπε. "Πρόκειται να παράγουμε πολύ κώδικα που θα είναι ανασφαλής από σχεδιασμό." Οι επιθέσεις και εκμεταλλεύσεις προκάλεσαν 1,4 δισεκατομμύρια δολάρια σε απώλειες κρυπτονομισμάτων τον τελευταίο χρόνο, και η πρόβλεψη του Guillemet είναι ότι η καμπύλη γίνεται πιο απότομη, όχι πιο επίπεδη.
Η επίθεση Drift είναι η πιο καθαρή απόδειξη αυτής της προειδοποίησης. Οι επιτιθέμενοι δεν άγγιξαν ποτέ τον κώδικα, στόχευσαν τους δύο ανθρώπους που κρατούσαν τα κλειδιά. Η τεχνητή νοημοσύνη δεν χρειάζεται να σπάσει ένα έξυπνο συμβόλαιο αν μπορεί να δημιουργήσει ένα αρκετά πειστικό πρόσχημα για να εξαπατήσει έναν υπογράφοντα multisig να εγκρίνει μια συναλλαγή που δεν καταλαβαίνει πλήρως. Ο Guillemet αναμένει τη βιομηχανία να χωριστεί: κρίσιμα συστήματα όπως πορτοφόλια και βασικά πρωτόκολλα θα επενδύσουν σημαντικά στην ασφάλεια και θα προσαρμοστούν, αλλά μεγάλο μέρος του ευρύτερου οικοσυστήματος λογισμικού μπορεί να αγωνιστεί να συμβαδίσει. Οι προτεινόμενες διορθώσεις του, επίσημη επαλήθευση χρησιμοποιώντας μαθηματικές αποδείξεις, απομόνωση υλικού για ιδιωτικά κλειδιά, είναι δομικά υγιείς αλλά απαιτούν επίπεδο θεσμικής πειθαρχίας που τα περισσότερα πρωτόκολλα DeFi, συμπεριλαμβανομένου του Drift, δεν έχουν ακόμη ενσωματώσει. "Όταν έχετε μια αφιερωμένη συσκευή που δεν είναι εκτεθειμένη στο διαδίκτυο, είναι πιο ασφαλής από σχεδιασμό", είπε. Το Συμβούλιο Ασφαλείας του Drift δεν είχε τέτοιο προστατευτικό περιθώριο. Δύο υπογραφές, μηδενικό timelock και ένα ψεύτικο token ήταν το μόνο που χρειάστηκε.
Τι Συμβαίνει Στη Συνέχεια: Ανάκαμψη του Drift και Απάντηση της Βιομηχανίας
Τι συμβαίνει στη συνέχεια για το Πρωτόκολλο Drift είναι μακριά από σαφές και τα πρώτα σήματα ήδη διχάζουν τη βιομηχανία. Στην άμεση συνέχεια, ο Anatoly Yakovenko πρότεινε μια πιθανή πορεία ανάκαμψης: την έκδοση ενός airdrop token τύπου IOU σε επηρεαζόμενους χρήστες, αντικατοπτρίζοντας το σχέδιο της Bitfinex του 2016 μετά την επίθεση των 72 εκατομμυρίων δολαρίων.
Η ιδέα είναι απλή — κοινωνικοποίηση των ζημιών τώρα, επιστροφή χρημάτων στους χρήστες με την πάροδο του χρόνου αν το πρωτόκολλο ανακάμψει. Αλλά το πλαίσιο είναι πολύ διαφορετικό. Το TVL του Drift έχει μειωθεί σχεδόν στο μισό, οι καταθέσεις και αναλήψεις παραμένουν αναστολές και σε αντίθεση με το Bitfinex, δεν διαθέτει κεντρική μηχανή εσόδων για να στηρίξει αυτές τις υποχρεώσεις. Αυτό έχει οδηγήσει σε άμεση αντίδραση: τα IOU tokens, σε αυτή την περίπτωση, κινδυνεύουν να γίνουν καθαρά κερδοσκοπικά μέσα χωρίς σαφή διαδρομή εξαργύρωσης.
Ταυτόχρονα, η δραστηριότητα on-chain εγείρει νέες ανησυχίες. Το Onchain Lens επισήμανε ότι ένα πορτοφόλι που συνδέεται με την ομάδα Drift μετακίνησε 56,25 εκατομμύρια DRIFT tokens (≈2,44 εκατομμύρια δολάρια) σε κεντρικά ανταλλακτήρια συμπεριλαμβανομένων των Bybit και Gate λίγο μετά την εκμετάλλευση, μια κίνηση που συνήθως προηγείται πιέσεων πώλησης και έχει τροφοδοτήσει εικασίες για εσωτερική τοποθέτηση κατά τη διάρκεια κρίσης ρευστότητας.
Εν τω μεταξύ, τα κεφάλαια του επιτιθέμενου έχουν ήδη γεφυρωθεί σε άλλες αλυσίδες, ιδίως στο Ethereum, μειώνοντας την πιθανότητα ουσιαστικής ανάκτησης με κάθε μέρα που περνά. Η ευρύτερη συνέπεια είναι ότι αυτό το περιστατικό δεν θα τελειώσει με το Drift. Είναι πιθανό να επιταχύνει τον έλεγχο σε όλη τη βιομηχανία γύρω από την ίδια τη διακυβέρνηση DeFi, από πρότυπα ασφάλειας multisig και απαιτήσεις timelock έως σχεδιασμό oracle και ελέγχους εκτέλεσης. Αυτό που έρχεται στη συνέχεια εξαρτάται από τρεις μεταβλητές: εάν το Drift μπορεί να παρουσιάσει ένα αξιόπιστο σχέδιο ανάκαμψης, εάν οποιοδήποτε τμήμα των κεφαλαίων μπορεί να ιχνηλατηθεί ή να παγώσει, και εάν αυτό τελικά επιβάλει δομική μεταρρύθμιση, ή γίνει απλώς ένα ακόμα ακριβό μάθημα που η βιομηχανία ξεπερνά.
Αν διαβάζετε αυτό, είστε ήδη μπροστά. Μείνετε εκεί με το ενημερωτικό μας δελτίο.
Πηγή: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
