En Solana-baseret børs for evighedsfutures mistede 286 millioner dollars på 12 minutter den 1. april 2026, efter at hackere i tre uger i al hemmelighed havde fremstillet falsk sikkerhedsstillelse og udnyttet social manipulation over for protokollens underskrivere. Hændelsen har været det mest omtalte emne i kryptokredse de seneste dage.
Drift Protocol-hacket i 2026: Hvad skete der, hvem mistede penge, og hvad sker der nu?
SKREVET AF
DEL
Nordkoreas Lazarus-gruppe mistænkes for tyveri af 286 millioner dollar fra Drift Protocol på Solana
Drift Protocol, den største decentraliserede børs for evige futures på Solana-netværket, bekræftede udnyttelsen, efter at den havde set sin samlede værdi (TVL) styrtdykke fra ca. 550 millioner dollar til under 250 millioner dollar på en enkelt formiddag, hvor den nu ligger på 232 millioner dollar. Bitcoin.com News var den første til at rapportere om sagen. DRIFT-tokenet faldt med hele 37 %–42 % i de følgende timer og nåede et lavpunkt på mellem 0,04 og 0,05 dollar.
Rapporter bemærker, at angrebet ikke begyndte med en kodefejl, men med en udbetaling fra Tornado Cash. Den 11. marts trak angriberen ETH fra det Ethereum-baserede privatlivsprotokol og brugte disse midler til at implementere carbonvote-tokenet, eller CVT, den 12. marts. Blockchain-analytikere bemærkede, at implementeringstidspunktet svarede til ca. kl. 09:00 Pyongyang-tid, en detalje, der straks vakte mistanke.
Flere rapporter beskriver, at angriberen i løbet af de følgende tre uger tilførte minimal likviditet til CVT på den decentraliserede børs Raydium og brugte wash trading til at holde prisen tæt på 1,00 $. Drifts orakler tolkede denne pris som legitim. Angriberen havde opbygget falsk sikkerhedsstillelse, der så ægte ud for alle automatiserede systemer, der overvågede den.
"Tidligere i dag fik en ondsindet aktør uautoriseret adgang til Drift Protocol gennem et nyt angreb, der involverede varige noncer, hvilket resulterede i en hurtig overtagelse af Drifts Sikkerhedsråds administrative beføjelser," skrev Drift-teamet.
Projektets X-konto tilføjede:
"Dette var en meget sofistikeret operation, der tilsyneladende har involveret flere ugers forberedelse og iscenesat udførelse, herunder brugen af durable nonce-konti til at forhåndsunderskrive transaktioner, der forsinkede udførelsen."
Tilsyneladende flyttede Drift-angriberen sig mellem 23. og 30. marts til det menneskelige lag. Ved hjælp af en legitim Solana-funktion kaldet durable nonces fik angriberen angiveligt medlemmer af Drifts sikkerhedsråds multisig til at forhåndsunderskrive transaktioner, der så rutinemæssige ud. Disse underskrifter blev til forhåndsgodkendte adgangsnøgler, der blev holdt i reserve, indtil angriberen var klar.
Åbningen lukkede den 27. marts, da Drift migrerede sit sikkerhedsråd til en 2-ud-af-5-underskriftsgrænse og fjernede sin timelock helt. En timelock pålægger typisk en forsinkelse på 24 til 72 timer på administrative handlinger, hvilket giver fællesskabet tid til at opdage og tilbageføre alt, der virker mistænkeligt. Uden den havde angriberen beføjelse til udførelse uden forsinkelse. De forhåndsunderskrevne transaktioner blev aktive i det øjeblik, timelocken var væk.
Den 1. april aktiverede angriberen disse transaktioner, opførte CVT som gyldig sikkerhed, hævede udbetalingsgrænserne og indsatte hundreder af millioner i CVT-tokens, mod hvilke Drifts risikomotor udstedte reelle aktiver. Protokollen udleverede millioner i JLP-tokens, millioner i USDC, millioner i SOL og mindre beløb i wrapped bitcoin og ethereum. 31 udbetalingstransaktioner blev afviklet på cirka 12 minutter.
Hackeren konverterede de stjålne tokens til USDC ved hjælp af Jupiter, broede til Ethereum og byttede dem til titusinder af ETH. Nogle midler blev dirigeret gennem Hyperliquid, og en del blev flyttet direkte til Binance. Den 3. april sendte Drift en onchain-besked fra en Ethereum-adresse til fire hacker-kontrollerede tegnebøger. Publikationen cryptonomist.ch rapporterer, at beskeden lød:
"Vi er klar til at tale."
Sikkerhedsfirmaerne Elliptic og TRM Labs har tilskrevet angrebet trusselsaktører med tilknytning til Nordkorea, idet de henviser til oprindelsen fra Tornado Cash, signaturen for implementering i Pyongyang-tid, fokus på social engineering og hastigheden af hvidvaskningen efter hacket. Lazarus-gruppen anvendte den samme tålmodighed og tilgang med fokus på mennesker i Ronin-bridge-hacket i 2022. Den amerikanske regering har knyttet disse tyverier til finansieringen af Nordkoreas våbenprogram, og Elliptic har sporet over 300 millioner dollars, der blev stjålet alene i første kvartal af 2026.
Smittekæden spredte sig til mere end 20 protokoller. Prime Numbers Fi rapporterede tab i millionklassen. Carrot Protocol satte mint- og indløsningsfunktionerne på pause, efter at 50 % af dets TVL var blevet ramt. Pyra Protocol deaktiverede udbetalinger fuldstændigt, hvilket gjorde alle brugeres midler utilgængelige. Piggybank mistede 106.000 dollars og refunderede brugerne fra sit eget teams kassebeholdning.
DeFi Development Corp., et Nasdaq-noteret selskab med en Solana-kassebeholdningsstrategi, bekræftede den 1. april, at det ikke havde nogen eksponering over for Drift. Dets risikoramme udelukkede protokollen fuldstændigt. Den kendsgerning vakte mere opmærksomhed, end selskabet sandsynligvis havde til hensigt.
Sikkerhedshul i Drift Protocol på SOL har kostet over 200 millioner dollar: Årets største DeFi-hack i 2026?
Drift Protocol på Solana mistede angiveligt over 200 millioner dollar i forbindelse med et formodet sikkerhedsbrud den 1. april 2026. Projektets eget token faldt markant i værdi. read more.
Læs nu
Sikkerhedshul i Drift Protocol på SOL har kostet over 200 millioner dollar: Årets største DeFi-hack i 2026?
Drift Protocol på Solana mistede angiveligt over 200 millioner dollar i forbindelse med et formodet sikkerhedsbrud den 1. april 2026. Projektets eget token faldt markant i værdi. read more.
Læs nuSikkerhedshul i Drift Protocol på SOL har kostet over 200 millioner dollar: Årets største DeFi-hack i 2026?
Læs nuDrift Protocol på Solana mistede angiveligt over 200 millioner dollar i forbindelse med et formodet sikkerhedsbrud den 1. april 2026. Projektets eget token faldt markant i værdi. read more.
Drift-hændelsen gav en klar lære, som det meste af branchen allerede kendte til, men ikke havde anvendt fuldt ud: en timelock er ikke valgfri. Fjernelsen af denne ene sikkerhedsforanstaltning den 27. marts forvandlede et komplekst angreb, der strakte sig over flere uger, til en udbetaling på 12 minutter. Protokolstyring uden en forsinkelsesmekanisme er styring med åben dør.
De næste 48 timer efter DeFi-angrebet blev beskrevet som afgørende for Drifts evne til at bevare brugernes tillid og udstikke en vej til genopretning. Pr. 3. april var der ikke blevet annonceret nogen omfattende refusionsplan.
FAQ 🔎
- Hvad skete der med Drift Protocol? Angribere tømte 286 millioner dollars fra Drift Protocol den 1. april 2026 ved hjælp af falsk sikkerhedsstillelse og forhåndsunderskrevne administrative transaktioner for at tømme protokollens centrale boks på 12 minutter.
- Hvem er ansvarlig for hacket af Drift Protocol? Sikkerhedsfirmaer, herunder Elliptic og TRM Labs, har tilskrevet angrebet trusselsaktører med tilknytning til Nordkorea, idet de henviser til hvidvaskningsmønstre og onchain-tidsstempler, der stemmer overens med Lazarus Groups fremgangsmåde.
- Er mine penge sikre på Drift Protocol? Drift suspenderede alle indskud og udbetalinger efter angrebet; brugere i berørte protokoller som Pyra og Carrot har stadig ikke adgang til deres midler pr. 3. april 2026.
- Hvad er et vedvarende nonce-angreb i Solana DeFi? Et vedvarende nonce-angreb bruger en legitim Solana-funktion til at forhåndsunderskrive transaktioner, der ser rutinemæssige ud, og opbevarer dem som aktive autorisationsnøgler, indtil angriberen vælger at udføre dem.
