Atacul cibernetic asupra protocolului Drift din 2026: Ce s-a întâmplat, cine a pierdut bani și ce urmează

Grupul Lazarus din RPDC este suspectat de furtul a 286 de milioane de dolari din protocolul Drift pe Solana

Drift Protocol, cea mai mare bursă descentralizată de contracte futures perpetue din rețeaua Solana, a confirmat exploatarea după ce a văzut cum valoarea totală blocată (TVL) s-a prăbușit de la aproximativ 550 de milioane de dolari la sub 250 de milioane de dolari într-o singură dimineață, situându-se acum la 232 de milioane de dolari. Bitcoin.com News a fost primul care a raportat problema. Tokenul DRIFT a scăzut cu 37%–42% în orele care au urmat, atingând un minim de 0,04–0,05 dolari.

Rapoartele menționează că atacul nu a început cu o eroare de cod, ci cu o retragere din Tornado Cash. Pe 11 martie, atacatorul a retras ETH din protocolul de confidențialitate bazat pe Ethereum și a folosit acei bani pentru a lansa tokenul carbonvote, sau CVT, pe 12 martie. Analiștii blockchain au observat că ora lansării corespundea cu aproximativ ora 09:00, ora Pyongyang, un detaliu care a ridicat imediat semnale de alarmă.

Mai multe rapoarte detaliază faptul că, în următoarele trei săptămâni, atacatorul a introdus lichiditate minimă pentru CVT pe bursa descentralizată Raydium și a folosit tranzacții fictive pentru a menține un preț apropiat de 1,00 $. Oracolele Drift au interpretat acel preț ca fiind legitim. Atacatorul crease garanții false care păreau reale pentru fiecare sistem automatizat care le monitoriza.

„Mai devreme astăzi, un actor rău intenționat a obținut acces neautorizat la Protocolul Drift printr-un atac inovator care a implicat nonce durabile, ceea ce a dus la preluarea rapidă a puterilor administrative ale Consiliului de Securitate al Drift”, a scris echipa Drift.

Contul X al proiectului a adăugat:

„Aceasta a fost o operațiune extrem de sofisticată, care pare să fi implicat o pregătire de mai multe săptămâni și o execuție în etape, inclusiv utilizarea conturilor cu nonce durabile pentru a pre-semna tranzacții care au întârziat execuția.”

Aparent, între 23 și 30 martie, atacatorul Drift a trecut la nivelul uman. Folosind o caracteristică legitimă a Solana numită nonce durabile, atacatorul ar fi determinat membrii multisig ai Consiliului de Securitate al Drift să pre-semneze tranzacții care păreau de rutină. Aceste semnături au devenit chei de acces pre-aprobate, păstrate în rezervă până când atacatorul a fost gata.

Fereastra s-a închis pe 27 martie, când Drift și-a migrat Consiliul de Securitate la un prag de semnătură de 2 din 5 și a eliminat complet blocarea temporară. O blocare temporară impune de obicei o întârziere de 24 până la 72 de ore pentru acțiunile administrative, oferind comunității timp să detecteze și să anuleze orice lucru suspect. Fără aceasta, atacatorul avea autoritate de execuție fără întârziere. Tranzacțiile pre-semnate au intrat în vigoare în momentul în care blocarea temporară a dispărut.

Pe 1 aprilie, atacatorul a activat acele tranzacții, a listat CVT ca garanție validă, a ridicat limitele de retragere și a depus sute de milioane de tokenuri CVT, pentru care motorul de risc al Drift a emis active reale. Protocolul a predat milioane de tokenuri JLP, milioane de USDC, milioane de SOL și sume mai mici de bitcoin și ethereum învelite. Treizeci și una de tranzacții de retragere au fost procesate în aproximativ 12 minute.

Atacatorul a convertit tokenurile furate în USDC folosind Jupiter, le-a transferat pe Ethereum și le-a schimbat în zeci de mii de ETH. O parte din fonduri au fost redirecționate prin Hyperliquid, iar o parte a fost transferată direct către Binance. Pe 3 aprilie, Drift a trimis un mesaj on-chain de la o adresă Ethereum către patru portofele controlate de hacker. Publicația cryptonomist.ch raportează că mesajul avea următorul conținut:

„Suntem gata să vorbim.”

Firmele de securitate Elliptic și TRM Labs au atribuit atacul unor actori de amenințare legați de RPDC, citând originea Tornado Cash, semnătura de implementare în fusul orar de la Phenian, accentul pus pe ingineria socială și viteza de spălare a banilor după hack. Grupul Lazarus a folosit aceeași abordare bazată pe răbdare și țintirea oamenilor în hack-ul podului Ronin din 2022. Guvernul SUA a legat aceste furturi de finanțarea programului de armament al Coreei de Nord, iar Elliptic a urmărit peste 300 de milioane de dolari furați numai în primul trimestru al anului 2026.

Contagiunea s-a răspândit la peste 20 de protocoale. Prime Numbers Fi a raportat pierderi de milioane de dolari. Carrot Protocol a suspendat funcțiile de emitere și răscumpărare după ce 50% din TVL-ul său a fost afectat. Pyra Protocol a dezactivat complet retragerile, lăsând toate fondurile utilizatorilor inaccesibile. Piggybank a pierdut 106.000 de dolari și a rambursat utilizatorii din propria trezorerie a echipei.

DeFi Development Corp., o companie listată la Nasdaq cu o strategie de trezorerie Solana, a confirmat pe 1 aprilie că nu avea nicio expunere la Drift. Cadrul său de risc excludea complet protocolul. Acest fapt a atras mai multă atenție decât probabil intenționa compania.

Incidentul Drift a produs o lecție clară pe care majoritatea industriei o știa deja, dar nu o aplicase pe deplin: un timelock nu este opțional. Eliminarea acelei singure măsuri de protecție pe 27 martie a transformat un atac complex, de mai multe săptămâni, într-o retragere de fonduri de 12 minute. Guvernanța protocolului fără un mecanism de întârziere este o guvernanță cu ușa deschisă.

Următoarele 48 de ore după atacul DeFi au fost descrise ca fiind critice pentru capacitatea Drift de a păstra încrederea utilizatorilor și de a trasa o cale de redresare. Până la 3 aprilie, nu fusese anunțat niciun plan cuprinzător de rambursare.

Întrebări frecvente 🔎

• Ce s-a întâmplat cu Drift Protocol? Atacatorii au sustras 286 de milioane de dolari din Drift Protocol pe 1 aprilie 2026, folosind garanții false și tranzacții administrative pre-semnate pentru a goli seifurile principale ale protocolului în 12 minute.
• Cine este responsabil pentru hack-ul Drift Protocol? Firmele de securitate, inclusiv Elliptic și TRM Labs, au atribuit atacul unor actori de amenințare legați de RPDC, citând modele de spălare de bani și timestamp-uri on-chain în concordanță cu tehnicile grupului Lazarus.
• Banii mei sunt în siguranță pe Drift Protocol? Drift a suspendat toate depunerile și retragerile în urma atacului; utilizatorii din protocoalele afectate, precum Pyra și Carrot, nu pot accesa fondurile începând cu 3 aprilie 2026.
• Ce este un atac de tip „durable nonce” în Solana DeFi? Un atac de tip „durable nonce” utilizează o caracteristică legitimă a Solana pentru a pre-semna tranzacții care par de rutină, păstrându-le ca chei de autorizare active până când atacatorul alege să le execute.