A Drift Protocol 2026-os hackelése: Mi történt, kik vesztettek pénzt, és mi következik?

A DPRK Lazarus Group gyanúsítottja a Drift Protocol 286 millió dolláros Solana-lopásának

A Drift Protocol, a Solana hálózat legnagyobb decentralizált örökös határidős tőzsdéje, megerősítette a támadást, miután látta, hogy a teljes zárolt érték (TVL) egyetlen reggel alatt körülbelül 550 millió dollárról 250 millió dollár alá zuhant, és jelenleg 232 millió dollárnál áll. A Bitcoin.com News volt az első, aki beszámolt az ügyről. A DRIFT token az azt követő órákban 37–42%-kal esett vissza, és 0,04–0,05 dollár közelében érte el a mélypontot.

A jelentések szerint a támadás nem egy kódhibával kezdődött, hanem egy Tornado Cash-kivonással. Március 11-én a támadó ETH-t vett ki az Ethereum-alapú adatvédelmi protokollból, és ezeket a forrásokat felhasználva március 12-én bevezette a carbonvote tokent, vagyis a CVT-t. A blokklánc-elemzők megjegyezték, hogy a bevezetés időbélyege körülbelül 09:00-kor volt pjongjangi idő szerint, ami azonnal gyanút keltett.

Több jelentés is részletesen leírja, hogy a következő három hét során a támadó minimális likviditást biztosított a CVT számára a Raydium decentralizált tőzsdén, és wash tradinget használt, hogy az árat 1,00 dollár közelében tartsa. A Drift orákulumai ezt az árat legitimnek értelmezték. A támadó hamis biztosítékot hozott létre, amely minden automatizált rendszer számára valódinak tűnt.

„Ma reggel egy rosszindulatú szereplő jogosulatlan hozzáférést szerzett a Drift Protocolhoz egy újszerű, tartós nonce-okat felhasználó támadás révén, ami a Drift Biztonsági Tanácsának adminisztratív jogköreinek gyors átvételéhez vezetett” – írta a Drift csapata.

A projekt X-fiókja hozzátette:

„Ez egy rendkívül kifinomult művelet volt, amelynek előkészítése és végrehajtása több hetet vett igénybe, beleértve a tartós nonce-fiókok használatát a tranzakciók előzetes aláírásához, ami késleltette a végrehajtást.”

Látszólag március 23. és 30. között a Drift támadója átlépett az emberi rétegre. A tartós nonce-ok nevű, a Solana által biztosított legitim funkciót felhasználva a támadó állítólag rávette a Drift Biztonsági Tanácsának multisig-tagjait, hogy előre aláírjanak olyan tranzakciókat, amelyek rutinszerűnek tűntek. Ezek az aláírások előre jóváhagyott hozzáférési kulcsokká váltak, amelyeket tartalékban tartottak, amíg a támadó készen nem állt.

A rés március 27-én zárult le, amikor a Drift a Biztonsági Tanácsát 2 az 5-ből aláírási küszöbre állította át, és teljesen eltávolította az időzárját. Az időzár általában 24–72 órás késleltetést kényszerít az adminisztratív műveletekre, így a közösségnek ideje van észrevenni és visszafordítani minden gyanús dolgot. Enélkül a támadónak késleltetés nélküli végrehajtási jogosultsága volt. Az előre aláírt tranzakciók az időzár eltűnésének pillanatában életbe léptek.

Április 1-jén a támadó aktiválta ezeket a tranzakciókat, érvényes fedezetként jegyezte be a CVT-t, emelte a kivonási limiteket, és több száz millió CVT-tokent helyezett letétbe, amelyek ellen a Drift kockázati motorja valós eszközöket bocsátott ki. A protokoll több millió JLP-tokent, több millió USDC-t, több millió SOL-t, valamint kisebb mennyiségű wrapped bitcoint és ethereumot adott át. Harmincegy kivonási tranzakció körülbelül 12 perc alatt teljesült.

A támadó a Jupiter segítségével USDC-re váltotta az ellopott tokeneket, átvitte az Ethereumra, és több tízezer ETH-ra cserélte. Egy részét a Hyperliquid-en keresztül irányították, egy rész pedig közvetlenül a Binance-re került. Április 3-án a Drift egy Ethereum-címről on-chain üzenetet küldött négy, a hackerek által ellenőrzött pénztárcának. A cryptonomist.ch című kiadvány szerint az üzenet így szólt:

„Készen állunk a tárgyalásra.”

Az Elliptic és a TRM Labs biztonsági cégek a támadást Észak-Koreához kapcsolódó fenyegető szereplőknek tulajdonítják, hivatkozva a Tornado Cash eredetére, a pjongjangi időzónára utaló telepítési aláírásra, a szociális mérnöki módszerekre való összpontosításra és a hackelés utáni pénzmosás gyorsaságára. A Lazarus Group ugyanilyen türelmet és emberközpontú megközelítést alkalmazott a 2022-es Ronin bridge hackelés során. Az amerikai kormány ezeket a lopásokat Észak-Korea fegyverprogramjának finanszírozásához kötötte, az Elliptic pedig csak 2026 első negyedévében több mint 300 millió dollárnyi lopást követett nyomon.

A fertőzés több mint 20 protokollra terjedt át. A Prime Numbers Fi több millió dolláros veszteségről számolt be. A Carrot Protocol felfüggesztette a kibocsátási és visszaváltási funkciókat, miután TVL-jének 50%-a érintett lett. A Pyra Protocol teljesen letiltotta a kifizetéseket, így a felhasználók pénzeszközeihez senki sem férhetett hozzá. A Piggybank 106 000 dollárt vesztett, és a saját csapat kincstárából térítette meg a felhasználókat.

A DeFi Development Corp., egy Solana-kincstári stratégiát követő, Nasdaq-on jegyzett vállalat, április 1-jén megerősítette, hogy nincs kitettsége a Drift iránt. Kockázati keretrendszere teljes mértékben kizárta a protokollt. Ez a tény nagyobb figyelmet keltett, mint amit a vállalat valószínűleg szándékozott.

A Drift-incidens egy egyértelmű tanulságot hozott, amelyet az iparág nagy része már tudott, de nem alkalmazott teljes mértékben: a timelock nem opcionális. Ezen egyetlen biztosíték eltávolítása március 27-én egy komplex, több hetes támadást 12 perces készpénzfelvétellé alakított. A késleltetési mechanizmus nélküli protokoll-irányítás olyan, mintha nyitva lenne az ajtó.

A DeFi-támadást követő 48 órát kritikusnak tartották a Drift számára a felhasználói bizalom megőrzése és a helyreállítási útvonal kijelölése szempontjából. Április 3-án még nem jelentettek be átfogó visszatérítési tervet.

GYIK 🔎

• Mi történt a Drift Protocol-lal? A támadók 2026. április 1-jén 286 millió dollárt szipolyáztak ki a Drift Protocol-ból, hamis biztosítékokat és előre aláírt adminisztratív tranzakciókat felhasználva, hogy 12 perc alatt kiürítsék a protokoll központi széfjeit.
• Ki a felelős a Drift Protocol feltöréséért? Biztonsági cégek, köztük az Elliptic és a TRM Labs, a támadást Észak-Koreához kapcsolódó fenyegető szereplőknek tulajdonítják, hivatkozva a Lazarus Group módszereivel összhangban lévő pénzmosási mintákra és láncon belüli időbélyegekre.
• Biztonságban van a pénzem a Drift Protocolon? A Drift a támadás után minden befizetést és kifizetést felfüggesztett; az érintett protokollok, például a Pyra és a Carrot felhasználói 2026. április 3-án még mindig nem férhetnek hozzá a pénzeszközeikhez.
• Mi az a tartós nonce-támadás a Solana DeFi-ben? A tartós nonce-támadás egy legitim Solana-funkciót használ fel arra, hogy rutinszerűnek tűnő tranzakciókat előre aláírjon, és azokat élő engedélyezési kulcsokként tárolja, amíg a támadó úgy nem dönt, hogy végrehajtja őket.