Czytaj w aplikacji
Obsługiwane przez
Featured

Włamanie do protokołu Drift w 2026 roku: co się wydarzyło, kto stracił pieniądze i co dalej

Giełda kontraktów terminowych typu perpetual oparta na sieci Solana straciła 286 milionów dolarów w ciągu 12 minut 1 kwietnia 2026 r., po tym jak hakerzy przez trzy tygodnie po cichu tworzyli fałszywe zabezpieczenia i stosowali socjotechnikę wobec osób podpisujących transakcje w ramach protokołu. Incydent ten był w ostatnich dniach najgorętszym tematem w kręgach kryptowalutowych.

NAPISAŁ
Jamie RedmanJamie Redman
UDOSTĘPNIJ
Włamanie do protokołu Drift w 2026 roku: co się wydarzyło, kto stracił pieniądze i co dalej

Grupa Lazarus z KRLD podejrzana o kradzież 286 milionów dolarów z protokołu Drift na Solanie

Drift Protocol, największa zdecentralizowana giełda kontraktów terminowych typu perpetual w sieci Solana, potwierdziła atak po tym, jak w ciągu jednego poranka jej całkowita wartość zablokowana (TVL) spadła z około 550 milionów dolarów do poniżej 250 milionów dolarów, a obecnie wynosi 232 miliony dolarów. Bitcoin.com News jako pierwszy poinformował o tej sprawie. W ciągu kilku następnych godzin wartość tokenu DRIFT spadła aż o 37–42%, osiągając najniższy poziom w przedziale od 0,04 do 0,05 USD.

Raporty wskazują, że atak nie rozpoczął się od błędu w kodzie, ale od wypłaty środków z Tornado Cash. 11 marca atakujący wypłacił ETH z protokołu prywatności opartego na Ethereum i wykorzystał te środki do wdrożenia tokenu carbonvote (CVT) 12 marca. Analitycy blockchain zauważyli, że czas wdrożenia odpowiadał około 09:00 czasu w Pjongjangu, co natychmiast wzbudziło podejrzenia.

Drift Protocol Hack 2026: What Happened, Who Lost Money, and What's Next
Token DRIFT 3 kwietnia 2026 r.

Kilka raportów szczegółowo opisuje, że w ciągu następnych trzech tygodni atakujący zasilił minimalną płynnością token CVT na zdecentralizowanej giełdzie Raydium i wykorzystał wash trading, aby utrzymać cenę na poziomie bliskim 1,00 USD. Wyrocznie Drift uznały tę cenę za prawidłową. Atakujący stworzył fałszywe zabezpieczenie, które wyglądało na prawdziwe dla każdego automatycznego systemu monitorującego je.

„Wcześniej dzisiaj złośliwy podmiot uzyskał nieautoryzowany dostęp do protokołu Drift poprzez nowatorski atak z wykorzystaniem trwałych nonce, co doprowadziło do szybkiego przejęcia uprawnień administracyjnych Rady Bezpieczeństwa Drift” – napisał zespół Drift.

Konto projektu na X dodało:

„Była to bardzo wyrafinowana operacja, która wydaje się wymagać wielotygodniowych przygotowań i etapowej realizacji, w tym wykorzystania trwałych kont nonce do wstępnego podpisywania transakcji, co opóźniało ich wykonanie”.

Najwyraźniej między 23 a 30 marca atakujący Drift przeszedł do warstwy ludzkiej. Wykorzystując legalną funkcję Solany zwaną trwałymi nonce, atakujący rzekomo skłonił członków wielopodpisowej Rady Bezpieczeństwa Drift do wstępnego podpisania transakcji, które wyglądały na rutynowe. Te podpisy stały się wstępnie zatwierdzonymi kluczami dostępu, przechowywanymi w rezerwie do momentu, gdy atakujący był gotowy.

Okno możliwości zamknęło się 27 marca, kiedy Drift zmienił próg podpisów w swojej Radzie Bezpieczeństwa na 2 z 5 i całkowicie usunął blokadę czasową. Blokada czasowa zazwyczaj wymusza 24- do 72-godzinne opóźnienie działań administracyjnych, dając społeczności czas na wykrycie i cofnięcie wszelkich podejrzanych działań. Bez niej atakujący miał uprawnienia do natychmiastowej realizacji. Wstępnie podpisane transakcje zostały uruchomione w momencie zniesienia blokady czasowej.

1 kwietnia atakujący aktywował te transakcje, wpisał CVT jako ważne zabezpieczenie, podniósł limity wypłat i zdeponował setki milionów tokenów CVT, w zamian za które silnik ryzyka Drift wydał prawdziwe aktywa. Protokół przekazał miliony tokenów JLP, miliony USDC, miliony SOL oraz mniejsze kwoty wrapped bitcoin i ethereum. Trzydzieści jeden transakcji wypłat zostało zrealizowanych w około 12 minut.

Atakujący zamienił skradzione tokeny na USDC za pomocą Jupiter, przeniósł je do Ethereum i zamienił na dziesiątki tysięcy ETH. Część środków została przekierowana przez Hyperliquid, a część trafiła bezpośrednio na Binance. 3 kwietnia Drift wysłał wiadomość w łańcuchu bloków z adresu Ethereum do czterech portfeli kontrolowanych przez hakera. Serwis cryptonomist.ch donosi, że wiadomość brzmiała:

„Jesteśmy gotowi do rozmowy”.

Firmy zajmujące się bezpieczeństwem, Elliptic i TRM Labs, przypisały ten atak podmiotom powiązanym z KRLD, powołując się na pochodzenie z Tornado Cash, sygnaturę wdrożenia zgodną z czasem w Pjongjangu, skupienie się na inżynierii społecznej oraz szybkość prania pieniędzy po włamaniu. Grupa Lazarus zastosowała tę samą cierpliwość i podejście ukierunkowane na ludzi podczas włamania do mostu Ronin w 2022 roku. Rząd USA powiązał te kradzieże z finansowaniem programu zbrojeniowego Korei Północnej, a firma Elliptic odnotowała ponad 300 milionów dolarów skradzionych środków tylko w pierwszym kwartale 2026 roku.

Zakażenie rozprzestrzeniło się na ponad 20 protokołów. Prime Numbers Fi zgłosiło straty rzędu milionów dolarów. Carrot Protocol wstrzymało funkcje emisji i wykupu po tym, jak dotknięto 50% jego TVL. Pyra Protocol całkowicie wyłączyło wypłaty, uniemożliwiając dostęp do wszystkich środków użytkowników. Piggybank stracił 106 000 dolarów i zrekompensował straty użytkownikom z własnej kasy zespołu.

DeFi Development Corp., spółka notowana na Nasdaq stosująca strategię skarbową opartą na Solanie, potwierdziła 1 kwietnia, że nie miała ekspozycji na Drift. Jej ramy ryzyka całkowicie wykluczały ten protokół. Fakt ten przyciągnął więcej uwagi, niż firma prawdopodobnie zamierzała.

W wyniku luki w zabezpieczeniach protokołu Drift Protocol z platformy SOL zniknęło ponad 200 mln dolarów: czy to największy atak hakerski na rynek DeFi w 2026 roku?

W wyniku luki w zabezpieczeniach protokołu Drift Protocol z platformy SOL zniknęło ponad 200 mln dolarów: czy to największy atak hakerski na rynek DeFi w 2026 roku?

Według doniesień, 1 kwietnia 2026 r. protokół Drift działający na platformie Solana poniósł straty w wysokości ponad 200 mln dolarów w wyniku prawdopodobnego ataku hakerskiego. Kurs natywnego tokenu projektu znacznie spadł. read more.

Czytaj teraz

Incydent z Driftem dał jedną jasną lekcję, o której większość branży już wiedziała, ale nie stosowała w pełni: blokada czasowa nie jest opcjonalna. Usunięcie tego jednego zabezpieczenia 27 marca przekształciło złożony, trwający kilka tygodni atak w 12-minutową wypłatę środków. Zarządzanie protokołem bez mechanizmu opóźniającego to zarządzanie z otwartymi drzwiami.

Kolejne 48 godzin po ataku na DeFi opisano jako kluczowe dla zdolności Drift do utrzymania zaufania użytkowników i wytyczenia ścieżki naprawy. Na dzień 3 kwietnia nie ogłoszono żadnego kompleksowego planu zwrotu środków.

FAQ 🔎

  • Co stało się z protokołem Drift? 1 kwietnia 2026 r. atakujący wyciągnęli 286 mln dolarów z protokołu Drift, wykorzystując fałszywe zabezpieczenia i wstępnie podpisane transakcje administracyjne, aby w ciągu 12 minut opróżnić główne skarbce protokołu.
  • Kto jest odpowiedzialny za włamanie do protokołu Drift? Firmy zajmujące się bezpieczeństwem, w tym Elliptic i TRM Labs, przypisują atak podmiotom powiązanym z KRLD, powołując się na schematy prania pieniędzy i znaczniki czasu w łańcuchu bloków zgodne z metodami działania grupy Lazarus.
  • Czy moje pieniądze są bezpieczne w protokole Drift? Po ataku Drift zawiesił wszystkie wpłaty i wypłaty; użytkownicy dotkniętych protokołów, takich jak Pyra i Carrot, nadal nie mają dostępu do środków (stan na 3 kwietnia 2026 r.).
  • Czym jest atak typu „durable nonce” w Solana DeFi? Atak typu „durable nonce” wykorzystuje legalną funkcję Solany do wstępnego podpisywania transakcji, które wyglądają na rutynowe, przechowując je jako aktywne klucze autoryzacyjne do momentu, gdy atakujący zdecyduje się je wykonać.
Tagi w tym artykule
Data BreachDecentralized applications (dApps)Decentralized finance (Defi)