Solana-pohjainen ikuisten futuurien pörssi menetti 286 miljoonaa dollaria 12 minuutissa 1. huhtikuuta 2026, kun hyökkääjät olivat kolmen viikon ajan hiljaisuudessa valmistelleet väärennettyjä vakuuksia ja manipuloineet protokollan allekirjoittajia. Tapaus on ollut viime päivien kuumin keskustelunaihe kryptovaluutta-piireissä.
Drift Protocolin hakkerointi vuonna 2026: mitä tapahtui, kuka menetti rahaa ja mitä seuraavaksi
KIRJOITTAJA
JAA
Pohjois-Korean Lazarus-ryhmää epäillään Drift Protocolin 286 miljoonan dollarin Solana-varkaudesta
Drift Protocol, Solana-verkoston suurin hajautettu ikuisten futuurien pörssi, vahvisti hyökkäyksen todettuaan, että sen kokonaisarvo (TVL) romahti yhdessä aamussa noin 550 miljoonasta dollarista alle 250 miljoonaan dollariin ja on nyt 232 miljoonaa dollaria. Bitcoin.com News raportoi asiasta ensimmäisenä. DRIFT-tokenin arvo laski seuraavien tuntien aikana jopa 37–42 % ja pohjalukemaksi muodostui 0,04–0,05 dollaria.
Raporttien mukaan hyökkäys ei alkanut koodivirheestä, vaan Tornado Cash -nostosta. 11. maaliskuuta hyökkääjä nosti ETH:ta Ethereum-pohjaisesta yksityisyysprotokollasta ja käytti varat carbonvote-tokenin, eli CVT:n, käyttöönottoon 12. maaliskuuta. Blockchain-analyytikot huomasivat, että käyttöönoton aikaleima vastasi noin kello 09:00 Pjongjangin aikaa, mikä herätti välittömästi epäilyksiä.
Useissa raporteissa kerrotaan, että seuraavien kolmen viikon aikana hyökkääjä sijoitti vähäisen määrän likviditeettiä CVT:lle Raydium-hajautetulle pörssille ja käytti wash trading -tekniikkaa pitääkseen hinnan lähellä 1,00 dollaria. Driftin oraakkelit tulkitsivat tämän hinnan lailliseksi. Hyökkääjä oli rakentanut väärennetyn vakuuden, joka näytti aidolta kaikille sitä tarkkaileville automatisoiduille järjestelmille.
"Aiemmin tänään pahantahtoinen toimija sai luvattoman pääsyn Drift-protokollaan uudenlaisen, kestävien nonce-arvojen hyödyntävän hyökkäyksen avulla, mikä johti Driftin turvallisuusneuvoston hallinnollisten valtuuksien nopeaan kaappaamiseen", Drift-tiimi kirjoitti.
Projektin X-tili lisäsi:
"Kyseessä oli erittäin hienostunut operaatio, jonka valmistelu näyttää kestäneen useita viikkoja ja joka toteutettiin vaiheittain, mukaan lukien kestävien nonce-tilien käyttö transaktioiden ennakkoallekirjoittamiseen, mikä viivästytti toteutusta."
Ilmeisesti 23. ja 30. maaliskuuta välisenä aikana Driftin hyökkääjä siirtyi ihmisten tasolle. Käyttämällä laillista Solanan ominaisuutta, jota kutsutaan kestäviksi nonceiksi, hyökkääjä sai tiettävästi Driftin turvallisuusneuvoston monen allekirjoituksen (multisig) jäsenet esiallekirjoittamaan transaktioita, jotka näyttivät rutiiniluonteisilta. Näistä allekirjoituksista tuli ennakkohyväksyttyjä pääsykoodeja, joita pidettiin varalla, kunnes hyökkääjä oli valmis.
Aukko sulkeutui 27. maaliskuuta, kun Drift siirsi turvallisuusneuvostonsa 2/5-allekirjoituskynnykseen ja poisti aikalukon kokonaan. Aikalukko pakottaa yleensä 24–72 tunnin viiveen hallinnollisiin toimiin, antaen yhteisölle aikaa havaita ja kumota epäilyttävät toimet. Ilman sitä hyökkääjällä oli viiveetön toimeenpanovalta. Ennalta allekirjoitetut transaktiot aktivoituivat heti, kun aikalukko poistettiin.
1. huhtikuuta hyökkääjä aktivoi nämä transaktiot, listasi CVT:n kelvolliseksi vakuudeksi, nosti nostorajoja ja talletti satoja miljoonia CVT-tokenia, joita vastaan Driftin riskimoottori laski liikkeelle reaalivaroja. Protokolla luovutti miljoonia JLP-tokenia, miljoonia USDC:tä, miljoonia SOL:ia sekä pienempiä määriä wrapped bitcoineja ja ethereumeja. Kolmekymmentäyksi nostotransaktiota käsiteltiin noin 12 minuutissa.
Hyökkääjä muutti varastetut tokenit USDC:ksi Jupiterin avulla, siirsi ne Ethereumiin ja vaihtoi ne kymmeniksi tuhansiksi ETH:ksi. Osa varoista ohjattiin Hyperliquidin kautta, ja osa siirrettiin suoraan Binanceen. 3. huhtikuuta Drift lähetti ketjussa viestin Ethereum-osoitteesta neljään hakkerin hallitsemaan lompakkoon. Julkaisu cryptonomist.ch raportoi, että viestissä luki:
"Olemme valmiita puhumaan."
Turvallisuusyritykset Elliptic ja TRM Labs ovat osoittaneet hyökkäyksen Pohjois-Koreaan liittyville uhkatekijöille viitaten Tornado Cashin alkuperään, Pjongjangin aikavyöhykkeen käyttöönottosignatuuriin, sosiaalisen manipuloinnin painopisteeseen ja hakkeroinnin jälkeiseen rahanpesunopeuteen. Lazarus-ryhmä käytti samaa kärsivällisyyttä ja ihmisiin kohdistuvaa lähestymistapaa vuoden 2022 Ronin-sillan hakkeroinnissa. Yhdysvaltain hallitus on liittänyt nämä varkaudet Pohjois-Korean aseohjelman rahoitukseen, ja Elliptic on jäljittänyt yli 300 miljoonan dollarin varkaudet pelkästään vuoden 2026 ensimmäisellä neljänneksellä.
Tartunta levisi yli 20 protokollaan. Prime Numbers Fi ilmoitti miljoonien tappioista. Carrot Protocol keskeytti kolikoiden lyömisen ja lunastamisen, kun 50 % sen TVL:stä oli vaarantunut. Pyra Protocol poisti nostot kokonaan käytöstä, jolloin käyttäjien varoihin ei päässyt käsiksi. Piggybank menetti 106 000 dollaria ja korvasi käyttäjille tappiot omasta tiiminsä kassasta.
DeFi Development Corp., Nasdaq-pörssissä noteerattu yritys, jolla on Solana-kassastrategia, vahvisti 1. huhtikuuta, ettei sillä ollut altistusta Driftille. Sen riskikehys sulki protokollan kokonaan pois. Tämä seikka herätti enemmän huomiota kuin yritys todennäköisesti tarkoitti.
Drift Protocolin SOL-haavoittuvuuden seurauksena yli 200 miljoonaa dollaria on varastettu: Vuoden 2026 suurin DeFi-hakkerointi?
Solanan Drift Protocol menetti tiettävästi yli 200 miljoonaa dollaria epäillyn tietoturva-aukon seurauksena 1. huhtikuuta 2026. Projektin oma token laski huomattavasti. read more.
Lue nyt
Drift Protocolin SOL-haavoittuvuuden seurauksena yli 200 miljoonaa dollaria on varastettu: Vuoden 2026 suurin DeFi-hakkerointi?
Solanan Drift Protocol menetti tiettävästi yli 200 miljoonaa dollaria epäillyn tietoturva-aukon seurauksena 1. huhtikuuta 2026. Projektin oma token laski huomattavasti. read more.
Lue nytDrift Protocolin SOL-haavoittuvuuden seurauksena yli 200 miljoonaa dollaria on varastettu: Vuoden 2026 suurin DeFi-hakkerointi?
Lue nytSolanan Drift Protocol menetti tiettävästi yli 200 miljoonaa dollaria epäillyn tietoturva-aukon seurauksena 1. huhtikuuta 2026. Projektin oma token laski huomattavasti. read more.
Drift-tapaus opetti yhden selkeän asian, jonka suurin osa alasta jo tiesi, mutta jota ei ollut täysin sovellettu: aikalukko ei ole valinnainen. Tämän yhden suojatoimen poistaminen 27. maaliskuuta muutti monimutkaisen, useita viikkoja kestäneen hyökkäyksen 12 minuutin rahannostoksi. Protokollan hallinto ilman viivästysmekanismia on hallintoa, jossa ovet ovat auki.
DeFi-hyökkäystä seuranneet 48 tuntia kuvattiin kriittisiksi Driftin kyvylle säilyttää käyttäjien luottamus ja suunnitella toipumissuunnitelma. 3. huhtikuuta mennessä kattavaa korvaussuunnitelmaa ei ollut vielä julkistettu.
UKK 🔎
- Mitä tapahtui Drift Protocolille? Hyökkääjät veivät 286 miljoonaa dollaria Drift Protocolilta 1. huhtikuuta 2026 käyttämällä väärennettyjä vakuuksia ja etukäteen allekirjoitettuja hallinnollisia transaktioita tyhjentääkseen protokollan ydinholvit 12 minuutissa.
- Kuka on vastuussa Drift Protocolin hakkeroinnista? Turvallisuusyritykset, kuten Elliptic ja TRM Labs, ovat osoittaneet hyökkäyksen Pohjois-Koreaan liittyvien uhkatekijöiden tekosiksi viittaamalla rahanpesumalleihin ja ketjun aikaleimoihin, jotka ovat yhdenmukaisia Lazarus-ryhmän toimintatapojen kanssa.
- Onko rahani turvassa Drift Protocolissa? Drift keskeytti kaikki talletukset ja nostot hyökkäyksen jälkeen; käyttäjät, jotka ovat mukana vaikutuksen alaisissa protokollissa, kuten Pyra ja Carrot, eivät vieläkään pääse käsiksi varoihinsa 3. huhtikuuta 2026.
- Mikä on kestävä nonce-hyökkäys Solana DeFi:ssä? Kestävä nonce-hyökkäys käyttää laillista Solana-ominaisuutta allekirjoittamaan etukäteen rutiininomaisilta näyttävät transaktiot ja pitämään niitä voimassa olevina valtuutusavaimina, kunnes hyökkääjä päättää toteuttaa ne.
