Solana-põhine püsifutuuride börs kaotas 1. aprillil 2026. aastal 12 minuti jooksul 286 miljonit dollarit, kui ründajad olid kolm nädalat vaikselt võltsitud tagatisi loonud ja protokolli allkirjastajaid sotsiaalse inseneri abil mõjutanud. See juhtum on viimaste päevade jooksul olnud krüptovaluuta-ringkondades kõige aktuaalsem arutlusteema.
Drift Protocol'i häkkimine 2026: mis juhtus, kes kaotas raha ja mis saab edasi
KIRJUTAS
JAGA
Põhja-Korea Lazarus Group kahtlustatakse Drift Protocolilt 286 miljoni dollari suuruse summa varguses Solana võrgustikus
Drift Protocol, Solana võrgustiku suurim detsentraliseeritud püsifutuuride börs, kinnitas rünnakut pärast seda, kui nägi oma koguväärtuse (TVL) langemist ühe hommiku jooksul ligikaudu 550 miljonilt dollarilt alla 250 miljoni dollari, mis on praegu 232 miljonit dollarit. Bitcoin.com News oli esimene, kes sellest teatas. DRIFT-token langes järgnevatel tundidel koguni 37–42%, jõudes madalaimale tasemele 0,04–0,05 dollarit.
Aruannetes märgitakse, et rünnak ei alanud koodiveast, vaid Tornado Cashi väljamaksest. 11. märtsil võttis ründaja ETH-d Ethereumi-põhisest privaatsusprotokollist välja ja kasutas neid vahendeid 12. märtsil carbonvote-tokeni ehk CVT kasutuselevõtuks. Blockchaini analüütikud märkasid, et kasutuselevõtu ajamärge vastas umbes kell 09:00 Pyongyangi aja järgi, mis äratas kohe kahtlusi.
Mitmed raportid kirjeldavad, et järgneva kolme nädala jooksul lisas ründaja Raydiumi detsentraliseeritud börsile minimaalset likviidsust CVT-le ja kasutas wash tradingut, et hoida hind ligikaudu 1,00 dollari juures. Drifti oraaklid lugesid seda hinda õigeks. Ründaja oli loonud võltsitud tagatise, mis nägi välja tõeline kõigile seda jälgivatele automatiseeritud süsteemidele.
„Täna varem sai pahatahtlik tegutseja volitamata juurdepääsu Drift Protocolile uudsete rünnakute kaudu, mis hõlmasid püsivaid nonce'e, mille tulemusena võeti kiiresti üle Drifti julgeolekunõukogu haldusvolitused,“ kirjutas Drifti meeskond.
Projekti X-konto lisas:
„Tegemist oli väga keeruka operatsiooniga, mille ettevalmistamine ja läbiviimine võttis ilmselt mitu nädalat aega, sealhulgas püsivate nonce-kontode kasutamine tehingute eelallkirjastamiseks, mis viivitasid tehingute täitmist.”
Ilmselt liikus Drifti ründaja 23. ja 30. märtsi vahel inimtasandile. Kasutades Solana õiguspärast funktsiooni nimega püsivad nonced, sundis ründaja väidetavalt Drifti julgeolekunõukogu multisig-liikmeid eelallkirjastama tehinguid, mis näisid rutiinsed. Need allkirjad muutusid eelnevalt heakskiidetud juurdepääsuvõtmeteks, mida hoiti varuks, kuni ründaja oli valmis.
Aken sulgus 27. märtsil, kui Drift viis oma turvanõukogu üle 2-5 allkirja künnisele ja eemaldas ajaluku täielikult. Ajalukk sunnib tavaliselt haldusmeetmeid 24–72 tundi edasi lükkama, andes kogukonnale aega kahtlase tegevuse avastamiseks ja tühistamiseks. Ilma selleta oli ründajal viivituseta täitmisõigus. Eelallkirjastatud tehingud aktiveerusid kohe, kui ajalukk kadus.
1. aprillil aktiveeris ründaja need tehingud, lisas CVT kehtiva tagatisena, tõstis väljamaksete limiite ja hoiustas sadu miljoneid CVT-tokeneid, mille vastu Drifti riskimootor väljastas reaalseid varasid. Protokoll andis üle miljoneid JLP-tokeneid, miljoneid USDC-sid, miljoneid SOL-e ja väiksemaid summasid wrapped bitcoine ja ethereume. Kolmkümmend üks väljamakse tehingut kanti läbi umbes 12 minutiga.
Ründaja konverteeris varastatud tokenid Jupiteri abil USDC-ks, viis need Ethereumi ja vahetas need kümnete tuhandete ETH-deks. Osa rahalistest vahenditest suunati läbi Hyperliquidi ja osa viidi otse Binancesse. 3. aprillil saatis Drift Ethereumi aadressilt neljale häkkerite kontrolli all olevale rahakotile onchain-sõnumi. Väljaanne cryptonomist.ch teatab, et sõnum kõlas järgmiselt:
„Oleme valmis rääkima.”
Turvafirmad Elliptic ja TRM Labs on rünnaku omistatud Põhja-Koreaga seotud ohuallikatele, viidates Tornado Cashi päritolule, Pyongyangi aja järgi paigaldamise allkirjale, sotsiaalse inseneri keskendumisele ja rünnakujärgsele rahapesu kiirusele. Lazarus Group kasutas sama kannatlikkust ja inimestele suunatud lähenemist 2022. aasta Ronin Bridge'i häkkimisel. USA valitsus on seostanud need vargused Põhja-Korea relvaprogrammi rahastamisega ning Elliptic on jälginud, et ainuüksi 2026. aasta esimeses kvartalis varastati üle 300 miljoni dollari.
Nakkus levis enam kui 20 protokollile. Prime Numbers Fi teatas miljonitest kahjudest. Carrot Protocol peatas müntide vermimise ja lunastamise funktsioonid pärast seda, kui 50% selle TVL-ist oli mõjutatud. Pyra Protocol keelas väljamaksed täielikult, jättes kõik kasutajate rahalised vahendid kättesaamatuks. Piggybank kaotas 106 000 dollarit ja hüvitas kasutajatele kahju oma meeskonna rahalistest vahenditest.
DeFi Development Corp., Nasdaqis noteeritud ettevõte, millel on Solana rahaliste vahendite strateegia, kinnitas 1. aprillil, et tal puudus kokkupuude Driftiga. Ettevõtte riskiraamistik välistas selle protokolli täielikult. See fakt äratas rohkem tähelepanu, kui ettevõte tõenäoliselt kavatses.
Drift Protocol SOLi turvaaukust kaotati üle 200 miljoni dollari: kas tegemist on 2026. aasta suurima DeFi-häkkimisega?
Teatavasti kaotas Solana platvormil tegutsev Drift Protocol 1. aprillil 2026. aastal kahtlustatava turvaaugu tõttu üle 200 miljoni dollari. Projekti oma tokeni väärtus langes märkimisväärselt. read more.
Loe nüüd
Drift Protocol SOLi turvaaukust kaotati üle 200 miljoni dollari: kas tegemist on 2026. aasta suurima DeFi-häkkimisega?
Teatavasti kaotas Solana platvormil tegutsev Drift Protocol 1. aprillil 2026. aastal kahtlustatava turvaaugu tõttu üle 200 miljoni dollari. Projekti oma tokeni väärtus langes märkimisväärselt. read more.
Loe nüüdDrift Protocol SOLi turvaaukust kaotati üle 200 miljoni dollari: kas tegemist on 2026. aasta suurima DeFi-häkkimisega?
Loe nüüdTeatavasti kaotas Solana platvormil tegutsev Drift Protocol 1. aprillil 2026. aastal kahtlustatava turvaaugu tõttu üle 200 miljoni dollari. Projekti oma tokeni väärtus langes märkimisväärselt. read more.
Drifti intsident andis ühe selge õppetunni, mida enamik sektorist juba teadis, kuid ei olnud täielikult rakendanud: ajalukk ei ole valikuline. Selle ühe kaitsemeetme eemaldamine 27. märtsil muutis keeruka, mitu nädalat kestnud rünnaku 12-minutiliseks väljamaksmiseks. Protokollide juhtimine ilma viivitusmehhanismita on juhtimine avatud uksega.
DeFi-rünnakule järgnenud 48 tundi kirjeldati kui kriitilisi Driftile, et säilitada kasutajate usaldus ja kavandada taastumistee. 3. aprilli seisuga ei olnud veel avaldatud ühtegi terviklikku hüvitamiskava.
KKK 🔎
- Mis juhtus Drift Protocoliga? Ründajad võtsid 1. aprillil 2026 Drift Protocolist välja 286 miljonit dollarit, kasutades võltsitud tagatisi ja eelnevalt allkirjastatud haldustehinguid, et tühjendada protokolli põhilised hoiukambrid 12 minutiga.
- Kes vastutab Drift Protocol'i häkkimise eest? Turvafirmad, sealhulgas Elliptic ja TRM Labs, on rünnaku omistatud Põhja-Koreaga seotud ohuallikatele, viidates rahapesumustritele ja ahela ajamärkidele, mis on kooskõlas Lazarus Groupi tegutsemisviisiga.
- Kas minu raha on Drift Protocolis ohutu? Drift peatas pärast rünnakut kõik sissemaksed ja väljamaksed; mõjutatud protokollide, nagu Pyra ja Carrot, kasutajad ei saa 3. aprillil 2026. aastal endiselt oma rahalistele vahenditele juurde pääseda.
- Mis on püsiv nonce-rünnak Solana DeFi-s? Püsiv nonce-rünnak kasutab Solana seaduslikku funktsiooni, et eelallkirjastada tavapärasena näivaid tehinguid, hoides neid aktiivsete autoriseerimisvõtmetena, kuni ründaja otsustab need täita.
