De hack van Drift Protocol in 2026: wat er gebeurde, wie er geld verloor en wat de toekomst brengt

DPRK Lazarus Group verdacht van diefstal van 286 miljoen dollar aan Solana via Drift Protocol

Drift Protocol, de grootste gedecentraliseerde beurs voor eeuwigdurende futures op het Solana-netwerk, bevestigde de aanval nadat het zag dat de totale waarde (TVL) in één ochtend instortte van ongeveer 550 miljoen dollar naar minder dan 250 miljoen dollar, en nu op 232 miljoen dollar staat. Bitcoin.com News bracht als eerste verslag uit over de kwestie. Het DRIFT-token daalde in de daaropvolgende uren met maar liefst 37%–42% en bereikte een dieptepunt van bijna $ 0,04 tot $ 0,05.

Volgens rapporten begon de aanval niet met een codefout, maar met een opname via Tornado Cash. Op 11 maart haalde de aanvaller ETH op uit het op Ethereum gebaseerde privacyprotocol en gebruikte die middelen om op 12 maart het carbonvote-token, of CVT, in omloop te brengen. Blockchain-analisten merkten op dat het tijdstip van de uitgifte overeenkwam met ongeveer 09:00 uur Pyongyang-tijd, een detail dat onmiddellijk alarmbellen deed rinkelen.

Verschillende rapporten beschrijven dat de aanvaller in de daaropvolgende drie weken minimale liquiditeit voor CVT op de gedecentraliseerde beurs Raydium heeft ingezet en wash trading heeft gebruikt om de prijs rond de $ 1,00 te houden. De orakels van Drift interpreteerden die prijs als legitiem. De aanvaller had nep-onderpand gecreëerd dat er voor elk geautomatiseerd systeem dat ernaar keek echt uitzag.

"Eerder vandaag heeft een kwaadwillende actor ongeoorloofde toegang verkregen tot het Drift Protocol via een nieuwe aanval met behulp van duurzame nonces, wat resulteerde in een snelle overname van de administratieve bevoegdheden van de Drift Security Council," schreef het Drift-team.

Het X-account van het project voegde hieraan toe:

"Dit was een zeer geavanceerde operatie die naar het schijnt wekenlange voorbereiding en gefaseerde uitvoering heeft gekost, inclusief het gebruik van durable nonce-accounts om transacties vooraf te ondertekenen die de uitvoering vertraagden."

Ogenschijnlijk is de Drift-aanvaller tussen 23 en 30 maart overgestapt naar de menselijke laag. Met behulp van een legitieme Solana-functie genaamd 'durable nonces' zou de aanvaller leden van de multisig van de Drift Security Council hebben aangezet tot het vooraf ondertekenen van transacties die routineus leken. Die handtekeningen werden vooraf goedgekeurde toegangssleutels, die in reserve werden gehouden totdat de aanvaller klaar was.

De opening werd op 27 maart gesloten, toen Drift zijn Security Council migreerde naar een 2-van-5-handtekeningdrempel en de timelock volledig verwijderde. Een timelock dwingt doorgaans een vertraging van 24 tot 72 uur af voor administratieve acties, waardoor de gemeenschap de tijd krijgt om verdachte zaken op te sporen en ongedaan te maken. Zonder deze drempel had de aanvaller de bevoegdheid om transacties zonder vertraging uit te voeren. De vooraf ondertekende transacties werden actief op het moment dat de timelock verdween.

Op 1 april activeerde de aanvaller die transacties, voerde CVT in als geldig onderpand, verhoogde de opnamelimieten en stortte honderden miljoenen aan CVT-tokens, waartegen de risicomotor van Drift reële activa uitgaf. Het protocol leverde miljoenen aan JLP-tokens, miljoenen aan USDC, miljoenen aan SOL en kleinere bedragen aan wrapped bitcoin en ethereum uit. Eenendertig opnametransacties werden in ongeveer 12 minuten verwerkt.

De aanvaller zette de gestolen tokens om in USDC met behulp van Jupiter, verbond deze met Ethereum en ruilde ze in voor tienduizenden ETH. Een deel van de middelen werd via Hyperliquid doorgestuurd en een deel ging rechtstreeks naar Binance. Op 3 april stuurde Drift een on-chainbericht vanaf een Ethereum-adres naar vier door de hacker gecontroleerde wallets. De publicatie cryptonomist.ch meldt dat het bericht luidde:

"We zijn klaar om te praten."

Beveiligingsbedrijven Elliptic en TRM Labs hebben de aanval toegeschreven aan aan Noord-Korea gelieerde dreigingsactoren, daarbij verwijzend naar de herkomst van Tornado Cash, de inzetkenmerken op Pyongyang-tijd, de focus op social engineering en de snelheid waarmee het geld na de hack werd witgewassen. De Lazarus Group gebruikte dezelfde geduldige en op mensen gerichte aanpak bij de Ronin-bridge-hack in 2022. De Amerikaanse regering heeft deze diefstallen in verband gebracht met de financiering van het wapenprogramma van Noord-Korea, en Elliptic heeft alleen al in het eerste kwartaal van 2026 meer dan 300 miljoen dollar aan gestolen middelen getraceerd.

De besmetting verspreidde zich naar meer dan 20 protocollen. Prime Numbers Fi meldde verliezen in de miljoenen. Carrot Protocol pauzeerde de mint- en inwisselfuncties nadat 50% van zijn TVL was getroffen. Pyra Protocol schakelde opnames volledig uit, waardoor alle gebruikersfondsen ontoegankelijk werden. Piggybank verloor $106.000 en vergoedde gebruikers uit de eigen kas van het team.

DeFi Development Corp., een op de Nasdaq genoteerd bedrijf met een Solana-kasstrategie, bevestigde op 1 april dat het geen blootstelling aan Drift had. Het risicokader sloot het protocol volledig uit. Dat feit trok meer aandacht dan het bedrijf waarschijnlijk had bedoeld.

Het Drift-incident leverde één duidelijke les op die het grootste deel van de sector al kende, maar nog niet volledig had toegepast: een timelock is geen optie. Het verwijderen van die ene beveiliging op 27 maart veranderde een complexe, wekenlange aanval in een uitbetaling van 12 minuten. Protocolbeheer zonder vertragingsmechanisme is beheer met een open deur.

De 48 uur na de DeFi-aanval werden beschreven als cruciaal voor het vermogen van Drift om het vertrouwen van de gebruikers te behouden en een herstelplan uit te stippelen. Op 3 april was er nog geen uitgebreid terugbetalingsplan aangekondigd.

Veelgestelde vragen 🔎

• Wat is er gebeurd met Drift Protocol? Aanvallers hebben op 1 april 2026 286 miljoen dollar uit Drift Protocol gehaald door gebruik te maken van vals onderpand en vooraf ondertekende administratieve transacties om de kernkluizen van het protocol in 12 minuten leeg te halen.
• Wie is verantwoordelijk voor de hack op Drift Protocol? Beveiligingsbedrijven, waaronder Elliptic en TRM Labs, hebben de aanval toegeschreven aan aan Noord-Korea gelieerde cybercriminelen, daarbij verwijzend naar witwaspatronen en on-chain tijdstempels die overeenkomen met de werkwijze van de Lazarus Group.
• Is mijn geld veilig bij Drift Protocol? Drift heeft na de aanval alle stortingen en opnames opgeschort; gebruikers van getroffen protocollen zoals Pyra en Carrot hebben op 3 april 2026 nog steeds geen toegang tot hun geld.
• Wat is een 'durable nonce'-aanval in Solana DeFi? Een 'durable nonce'-aanval maakt gebruik van een legitieme Solana-functie om transacties die er routinematig uitzien vooraf te ondertekenen, en deze vervolgens als actieve autorisatiesleutels te bewaren totdat de aanvaller besluit ze uit te voeren.