En Solana-basert børs for evigvarende futures tapte 286 millioner dollar på 12 minutter 1. april 2026, etter at angripere i tre uker i det stille produserte falsk sikkerhet og sosialt manipulerte protokollens signatører. Hendelsen har vært det mest aktuelle samtaleemnet i kryptomiljøer de siste dagene.
Drift Protocol-hack 2026: Hva skjedde, hvem tapte penger, og hva skjer videre
SKREVET AV
DEL
Nordkoreanske Lazarus Group mistenkt i Drift Protocol-tyveri på 286 millioner dollar på Solana
Drift Protocol, den største desentraliserte børsen for evigvarende futures på Solana-nettverket, bekreftet utnyttelsen etter å ha sett totalverdien låst (TVL) kollapse fra rundt 550 millioner dollar til under 250 millioner dollar i løpet av en morgen, og ligger nå på 232 millioner dollar. Bitcoin.com News var først til å rapportere om saken. DRIFT-tokenet falt så mye som 37 %–42 % i timene som fulgte, og bunnet nær 0,04 til 0,05 dollar.
Rapporter bemerker at angrepet ikke startet med en kodefeil, men med et Tornado Cash-uttak. 11. mars trakk angriperen ut ETH fra den Ethereum-baserte personvernprotokollen og brukte disse midlene til å distribuere carbonvote-tokenet, eller CVT, 12. mars. Blockchain-analytikere noterte at tidspunktet for distribusjonen tilsvarte omtrent kl. 09:00 Pyongyang-tid, en detalj som umiddelbart vekket mistanke.
Flere rapporter beskriver at angriperen i løpet av de påfølgende tre ukene tilførte minimal likviditet for CVT på den desentraliserte børsen Raydium og brukte wash trading for å holde prisen nær 1,00 dollar. Drifts orakler leste den prisen som legitim. Angriperen hadde bygget falsk sikkerhet som så ekte ut for alle automatiserte systemer som overvåket den.
«Tidligere i dag fikk en ondsinnet aktør uautorisert tilgang til Drift Protocol gjennom et nytt angrep som involverte varige noncer, noe som resulterte i en rask overtakelse av Drifts administrative fullmakter i Sikkerhetsrådet», skrev Drift-teamet.
Prosjektets X-konto la til:
«Dette var en svært sofistikert operasjon som ser ut til å ha involvert forberedelser over flere uker og trinnvis gjennomføring, inkludert bruk av varige nonce-kontoer for å forhåndssignere transaksjoner som forsinket utførelsen.»
Tilsynelatende, mellom 23. mars og 30. mars, flyttet Drift-angriperen seg til det menneskelige laget. Ved å bruke en legitim Solana-funksjon kalt varige noncer, skal angriperen ha fått medlemmer av Drifts multisig i Sikkerhetsrådet til å forhåndssignere transaksjoner som fremsto rutinemessige. Disse signaturene ble forhåndsgodkjente tilgangsnøkler, holdt i reserve til angriperen var klar.
Mulighetsvinduet åpnet seg 27. mars, da Drift migrerte sitt Sikkerhetsråd til en 2-av-5 signaturterskel og fjernet timelock helt. En timelock tvinger vanligvis fram en forsinkelse på 24 til 72 timer på administrative handlinger, noe som gir fellesskapet tid til å oppdage og reversere alt mistenkelig. Uten den hadde angriperen myndighet til å utføre handlinger uten forsinkelse. De forhåndssignerte transaksjonene ble aktive i det øyeblikket timelocken var borte.
1. april aktiverte angriperen disse transaksjonene, listet CVT som gyldig sikkerhet, økte uttaksgrensene og satte inn hundrevis av millioner i CVT-tokens, mot hvilke Drifts risikomotor utstedte reelle aktiva. Protokollen overleverte millioner i JLP-tokens, millioner i USDC, millioner i SOL og mindre beløp av wrapped bitcoin og ethereum. Trettien uttakstransaksjoner gikk gjennom på omtrent 12 minutter.
Angriperen konverterte de stjålne tokenene til USDC ved hjelp av Jupiter, broet til Ethereum og byttet til titusenvis av ETH. Noen midler ble rutet gjennom Hyperliquid, og en del flyttet direkte til Binance. 3. april sendte Drift en onchain-melding fra en Ethereum-adresse til fire hacker-kontrollerte lommebøker. Publikasjonen cryptonomist.ch rapporterer at meldingen lød:
«Vi er klare til å snakke.»
Sikkerhetsselskapene Elliptic og TRM Labs har tilskrevet angrepet til DPRK-tilknyttede trusselaktører, med henvisning til Tornado Cash-opprinnelsen, distribusjonssignaturen i Pyongyang-tid, fokuset på sosial manipulering og hastigheten på hvitvaskingen etter hackingen. Lazarus Group brukte den samme tålmodigheten og menneskefokuserte tilnærmingen i Ronin bridge-hacket i 2022. Den amerikanske regjeringen har knyttet disse tyveriene til finansiering av Nord-Koreas våpenprogram, og Elliptic har sporet over 300 millioner dollar stjålet bare i første kvartal 2026.
Smitteeffekten spredte seg til mer enn 20 protokoller. Prime Numbers Fi rapporterte tap på flere millioner. Carrot Protocol pauset mint- og innløsningsfunksjoner etter at 50 % av TVL ble påvirket. Pyra Protocol deaktiverte uttak fullstendig, noe som gjorde alle brukerfond utilgjengelige. Piggybank tapte 106 000 dollar og refunderte brukere fra sitt eget team-treasury.
DeFi Development Corp., et Nasdaq-notert selskap med en Solana-treasurystrategi, bekreftet 1. april at det ikke hadde noen Drift-eksponering. Deres risikorammeverk utelukket protokollen helt. Det faktumet trakk mer oppmerksomhet enn selskapet sannsynligvis hadde tenkt.
Drift Protocol SOL-utnyttelse ser over 200 millioner dollar tappet: Største DeFi-hack i 2026?
Drift Protocol på Solana skal etter sigende ha tapt over 200 millioner dollar i en mistenkt utnyttelse 1. april 2026. Prosjektets egen token falt betydelig. read more.
Les nå
Drift Protocol SOL-utnyttelse ser over 200 millioner dollar tappet: Største DeFi-hack i 2026?
Drift Protocol på Solana skal etter sigende ha tapt over 200 millioner dollar i en mistenkt utnyttelse 1. april 2026. Prosjektets egen token falt betydelig. read more.
Les nåDrift Protocol SOL-utnyttelse ser over 200 millioner dollar tappet: Største DeFi-hack i 2026?
Les nåDrift Protocol på Solana skal etter sigende ha tapt over 200 millioner dollar i en mistenkt utnyttelse 1. april 2026. Prosjektets egen token falt betydelig. read more.
Drift-hendelsen ga én klar lærdom som mesteparten av bransjen allerede kjente til, men ikke fullt ut hadde tatt i bruk: en timelock er ikke valgfri. Fjerningen av denne ene sikringen 27. mars forvandlet et komplekst, flerukers angrep til en 12-minutters utbetaling. Protokollstyring uten en forsinkelsesmekanisme er styring med en åpen dør.
De neste 48 timene etter DeFi-angrepet ble beskrevet som kritiske for Drifts evne til å beholde brukertillit og kartlegge en gjenopprettingsvei. Per 3. april var ingen omfattende refusjonsplan annonsert.
FAQ 🔎
- Hva skjedde med Drift Protocol? Angripere tappet 286 millioner dollar fra Drift Protocol 1. april 2026, ved å bruke falsk sikkerhet og forhåndssignerte administrative transaksjoner for å tømme protokollens kjerne-hvelv på 12 minutter.
- Hvem står bak Drift Protocol-hacket? Sikkerhetsselskaper, inkludert Elliptic og TRM Labs, har tilskrevet angrepet til DPRK-tilknyttede trusselaktører, med henvisning til hvitvaskingsmønstre og onchain-tidsstempler som er konsistente med Lazarus Groups fremgangsmåte.
- Er pengene mine trygge på Drift Protocol? Drift suspenderte alle innskudd og uttak etter angrepet; brukere i berørte protokoller som Pyra og Carrot kan fortsatt ikke få tilgang til midler per 3. april 2026.
- Hva er et varig nonce-angrep i Solana DeFi? Et varig nonce-angrep bruker en legitim Solana-funksjon til å forhåndssignere transaksjoner som ser rutinemessige ut, og holder dem som aktive autorisasjonsnøkler til angriperen velger å gjennomføre dem.
