Группа КНДР Lazarus подозревается в краже $286 миллионов Solana у Drift Protocol
Drift Protocol, крупнейшая децентрализованная биржа бессрочных фьючерсов в сети Solana, подтвердила взлом после того, как ее общая заблокированная стоимость (TVL) обрушилась примерно с $550 миллионов до менее $250 миллионов за одно утро, остановившись на уровне $232 миллионов. Bitcoin.com News первым сообщил об этой проблеме. Токен DRIFT упал на 37%–42% в последующие часы, достигнув минимума около $0,04–$0,05.
Отчеты отмечают, что атака началась не с ошибки в коде, а с вывода средств через Tornado Cash. 11 марта злоумышленник вывел ETH из протокола конфиденциальности на базе блокчейн Ethereum и использовал эти средства для развертывания токена carbonvote, или CVT, 12 марта. Аналитики блокчейна отметили, что временная метка развертывания соответствовала примерно 09:00 по пхеньянскому времени, деталь, которая немедленно вызвала тревогу.
токен DRIFT 3 апреля 2026 года.Несколько отчетов детализируют, что в течение следующих трех недель злоумышленник создал минимальную ликвидность для CVT на децентрализованной бирже Raydium и использовал отмывочную торговлю для поддержания цены около $1,00. Оракулы Drift считали эту цену легитимной. Злоумышленник построил фальшивые залоговые активы, которые выглядели реальными для каждой автоматизированной системы, наблюдающей за ними.
"Сегодня ранее злонамеренный субъект получил несанкционированный доступ к Drift Protocol посредством новой атаки с использованием durable nonces, что привело к быстрому захвату административных полномочий Совета безопасности Drift", - написала команда Drift.
Аккаунт проекта в X добавил:
Предположительно, в период с 23 по 30 марта злоумышленник Drift перешел на человеческий уровень. Используя легитимную функцию Solana под названием durable nonces, злоумышленник, как сообщается, склонил членов мультиподписи Совета безопасности Drift к предварительному подписанию транзакций, которые казались рутинными. Эти подписи стали предварительно одобренными ключами доступа, удерживаемыми в резерве до тех пор, пока злоумышленник не был готов.
Окно закрылось 27 марта, когда Drift перевел свой Совет безопасности на порог подписей 2 из 5 и полностью удалил таймлок. Таймлок обычно вынуждает задержку на 24-72 часа на административные действия, давая сообществу время обнаружить и отменить что-либо подозрительное. Без него злоумышленник получил полномочия на выполнение без задержки. Предварительно подписанные транзакции стали активными в момент исчезновения таймлока.
1 апреля злоумышленник активировал эти транзакции, указал CVT как действительные залоговые активы, повысил лимиты на вывод средств и внес сотни миллионов токенов CVT, против которых движок рисков Drift выпустил реальные активы. Протокол передал миллионы токенов JLP, миллионы USDC, миллионы SOL и меньшие количества обернутых bitcoin и ethereum. Тридцать одна транзакция вывода средств была очищена примерно за 12 минут.
Злоумышленник конвертировал украденные токены в USDC, используя Jupiter, перевел на Ethereum и обменял на десятки тысяч ETH. Некоторые средства были направлены через Hyperliquid, а часть переместилась непосредственно на Binance. 3 апреля Drift отправил ончейн сообщение с адреса Ethereum на четыре кошелька, контролируемых хакером. Издание cryptonomist.ch сообщает, что сообщение гласило:
Компании по безопасности Elliptic и TRM Labs приписали атаку связанным с КНДР угрозам, ссылаясь на происхождение через Tornado Cash, подпись развертывания по пхеньянскому времени, фокус на социальной инженерии и скорость отмывания после взлома. Группа Lazarus использовала тот же подход терпения и нацеливания на людей при взломе моста Ronin в 2022 году. Правительство США связало эти кражи с финансированием программы вооружений Северной Кореи, а Elliptic отследил более $300 миллионов, украденных только в первом квартале 2026 года.
Заражение распространилось на более чем 20 протоколов. Prime Numbers Fi сообщил о потерях в миллионы. Carrot Protocol приостановил функции чеканки и погашения после того, как было затронуто 50% его TVL. Pyra Protocol полностью отключил вывод средств, оставив все средства пользователей недоступными. Piggybank потерял $106 000 и возместил пользователям из собственной казны команды.
DeFi Development Corp., компания, котирующаяся на Nasdaq, со стратегией казначейства Solana, подтвердила 1 апреля, что у нее нет экспозиции к Drift. Ее структура рисков полностью исключала протокол. Этот факт привлек больше внимания, чем, вероятно, предполагала компания.
Инцидент с Drift дал один четкий урок, который большая часть индустрии уже знала, но не полностью применяла: таймлок не является опциональным. Удаление этой единственной защиты 27 марта превратило сложную, многонедельную атаку в 12-минутное обналичивание. Управление протоколом без механизма задержки - это управление с открытой дверью.
Следующие 48 часов после атаки на DeFi были описаны как критические для способности Drift сохранить доверие пользователей и наметить путь восстановления. По состоянию на 3 апреля всеобъемлющий план возмещения не был объявлен.
FAQ 🔎
- Что произошло с Drift Protocol? Злоумышленники вывели $286 миллионов из Drift Protocol 1 апреля 2026 года, используя фальшивые залоговые активы и предварительно подписанные административные транзакции для опустошения основных хранилищ протокола за 12 минут.
- Кто несет ответственность за взлом Drift Protocol? Компании по безопасности, включая Elliptic и TRM Labs, приписали атаку связанным с КНДР угрозам, ссылаясь на схемы отмывания и ончейн временные метки, соответствующие методам группы Lazarus.
- Безопасны ли мои деньги на Drift Protocol? Drift приостановил все депозиты и снятие средств после атаки; пользователи затронутых протоколов, таких как Pyra и Carrot, остаются неспособными получить доступ к средствам по состоянию на 3 апреля 2026 года.
- Что такое атака durable nonce в Solana DeFi? Атака durable nonce использует легитимную функцию Solana для предварительного подписания транзакций, которые выглядят рутинными, удерживая их в качестве живых ключей авторизации до тех пор, пока злоумышленник не решит их выполнить.
Источник: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
