En Solana-baserad börs för eviga terminer förlorade 286 miljoner dollar på 12 minuter den 1 april 2026, efter att angripare under tre veckors tid i det tysta hade skapat falska säkerheter och utnyttjat social manipulation mot protokollets signatärer. Händelsen har varit det mest omtalade ämnet i kryptovärlden under de senaste dagarna.
Hacket mot Drift Protocol 2026: Vad hände, vem förlorade pengar och vad händer nu?
SKRIVEN AV
DELA
Nordkoreanska Lazarus Group misstänks för stölden på 286 miljoner dollar från Drift Protocol på Solana
Drift Protocol, den största decentraliserade börsen för eviga terminer på Solana-nätverket, bekräftade exploateringen efter att ha sett sitt totala låsta värde (TVL) rasa från cirka 550 miljoner dollar till under 250 miljoner dollar på en enda morgon, och ligger nu på 232 miljoner dollar. Bitcoin.com News var först med att rapportera om händelsen. DRIFT-token sjönk med så mycket som 37–42 % under de följande timmarna och nådde en bottennivå på mellan 0,04 och 0,05 dollar.
Rapporter visar att attacken inte började med en kodfel utan med ett uttag från Tornado Cash. Den 11 mars tog angriparen ut ETH från det Ethereum-baserade sekretessprotokollet och använde dessa medel för att distribuera carbonvote-token, eller CVT, den 12 mars. Blockchain-analytiker noterade att tidsstämpeln för distributionen motsvarade ungefär kl. 09:00 Pyongyang-tid, en detalj som omedelbart väckte misstankar.
Flera rapporter beskriver att angriparen under de följande tre veckorna tillförde minimal likviditet för CVT på den decentraliserade börsen Raydium och använde wash trading för att hålla priset nära 1,00 dollar. Drifts orakler tolkade det priset som legitimt. Angriparen hade skapat falska säkerheter som såg äkta ut för alla automatiserade system som övervakade dem.
”Tidigare idag fick en illvillig aktör obehörig tillgång till Drift Protocol genom en ny typ av attack som involverade beständiga noncer, vilket resulterade i en snabb övertagande av Drifts säkerhetsråds administrativa befogenheter”, skrev Drift-teamet.
Projektets X-konto tillade:
”Detta var en mycket sofistikerad operation som tycks ha inneburit flera veckors förberedelser och stegvis genomförande, inklusive användning av konton med varaktiga noncer för att förhandsunderteckna transaktioner som fördröjde genomförandet.”
Uppenbarligen övergick Drift-angriparen till det mänskliga planet mellan den 23 och 30 mars. Med hjälp av en legitim Solana-funktion som kallas varaktiga noncer ska angriparen enligt uppgift ha förmått medlemmar i Drifts säkerhetsråds multisig att förhandsunderteckna transaktioner som verkade rutinmässiga. Dessa signaturer blev förhandsgodkända åtkomstnycklar, som hölls i reserv tills angriparen var redo.
Öppningen stängdes den 27 mars, när Drift migrerade sitt säkerhetsråd till en tröskel på 2 av 5 signaturer och helt tog bort sin tidslåsning. En tidslåsning tvingar vanligtvis fram en fördröjning på 24 till 72 timmar för administrativa åtgärder, vilket ger gemenskapen tid att upptäcka och ångra allt som verkar misstänkt. Utan den hade angriparen befogenhet att verkställa transaktioner utan fördröjning. De förhandsundertecknade transaktionerna aktiverades i samma ögonblick som tidslåsningen försvann.
Den 1 april aktiverade angriparen dessa transaktioner, listade CVT som giltig säkerhet, höjde uttagsgränserna och satte in hundratals miljoner i CVT-tokens mot vilka Drifts riskmotor utfärdade verkliga tillgångar. Protokollet överlämnade miljoner i JLP-tokens, miljoner i USDC, miljoner i SOL och mindre belopp av wrapped bitcoin och ethereum. Trettioen uttagstransaktioner genomfördes på ungefär 12 minuter.
Angriparen konverterade de stulna tokens till USDC med hjälp av Jupiter, överförde dem till Ethereum och bytte dem mot tiotusentals ETH. En del av medlen dirigerades via Hyperliquid, och en del flyttades direkt till Binance. Den 3 april skickade Drift ett onchain-meddelande från en Ethereum-adress till fyra plånböcker som kontrollerades av hackaren. Publikationen cryptonomist.ch rapporterar att meddelandet löd:
"Vi är redo att prata."
Säkerhetsföretagen Elliptic och TRM Labs har tillskrivit attacken hotaktörer med kopplingar till Nordkorea, med hänvisning till ursprunget från Tornado Cash, signaturen för distributionen i Pyongyang-tid, fokuset på social manipulation och hastigheten på penningtvätten efter hacket. Lazarus Group använde samma tålamod och samma strategi att rikta in sig på människor vid hacket av Ronin-bron 2022. Den amerikanska regeringen har kopplat dessa stölder till finansieringen av Nordkoreas vapenprogram, och Elliptic har spårat över 300 miljoner dollar som stulits enbart under det första kvartalet 2026.
Smittan spred sig till mer än 20 protokoll. Prime Numbers Fi rapporterade förluster på flera miljoner. Carrot Protocol pausade funktionerna för att skapa och lösa in tokens efter att 50 % av dess TVL drabbats. Pyra Protocol stängde av uttag helt, vilket gjorde alla användares medel otillgängliga. Piggybank förlorade 106 000 dollar och ersatte användarna från sitt eget teamkassa.
DeFi Development Corp., ett Nasdaq-noterat företag med en Solana-kassastrategi, bekräftade den 1 april att det inte hade någon exponering mot Drift. Dess riskramverk uteslöt protokollet helt. Det faktumet drog till sig mer uppmärksamhet än företaget troligen avsåg.
Säkerhetsbrist i Drift Protocol på SOL leder till förluster på över 200 miljoner dollar: Årets största DeFi-hack?
Drift Protocol på Solana ska enligt uppgift ha förlorat över 200 miljoner dollar i samband med en misstänkt säkerhetslucka den 1 april 2026. Projektets egna token föll kraftigt i värde. read more.
Läs nu
Säkerhetsbrist i Drift Protocol på SOL leder till förluster på över 200 miljoner dollar: Årets största DeFi-hack?
Drift Protocol på Solana ska enligt uppgift ha förlorat över 200 miljoner dollar i samband med en misstänkt säkerhetslucka den 1 april 2026. Projektets egna token föll kraftigt i värde. read more.
Läs nuSäkerhetsbrist i Drift Protocol på SOL leder till förluster på över 200 miljoner dollar: Årets största DeFi-hack?
Läs nuDrift Protocol på Solana ska enligt uppgift ha förlorat över 200 miljoner dollar i samband med en misstänkt säkerhetslucka den 1 april 2026. Projektets egna token föll kraftigt i värde. read more.
Drift-incidenten gav en tydlig lärdom som de flesta i branschen redan kände till men inte hade tillämpat fullt ut: en tidslåsning är inte valfri. Avlägsnandet av just den säkerhetsåtgärden den 27 mars förvandlade en komplex, flera veckor lång attack till en 12-minuters utbetalning. Protokollstyrning utan en fördröjningsmekanism är styrning med en öppen dörr.
De följande 48 timmarna efter DeFi-attacken beskrevs som avgörande för Drifts förmåga att behålla användarnas förtroende och staka ut en väg till återhämtning. Den 3 april hade ingen omfattande återbetalningsplan tillkännagivits.
Vanliga frågor 🔎
- Vad hände med Drift Protocol? Angripare tömde 286 miljoner dollar från Drift Protocol den 1 april 2026 genom att använda falska säkerheter och förhandsundertecknade administrativa transaktioner för att tömma protokollets centrala valv på 12 minuter.
- Vem bär ansvaret för hacket mot Drift Protocol? Säkerhetsföretag, däribland Elliptic och TRM Labs, har tillskrivit attacken hotaktörer med kopplingar till Nordkorea, med hänvisning till penningtvättmönster och tidsstämplar i blockkedjan som stämmer överens med Lazarus Groups tillvägagångssätt.
- Är mina pengar säkra på Drift Protocol? Drift stängde av alla insättningar och uttag efter attacken; användare i drabbade protokoll som Pyra och Carrot har fortfarande inte tillgång till sina medel per den 3 april 2026.
- Vad är en så kallad durable nonce-attack i Solana DeFi? En durable nonce-attack utnyttjar en legitim funktion i Solana för att förhandsunderteckna transaktioner som ser rutinmässiga ut, och behåller dem som aktiva auktoriseringsnycklar tills angriparen väljer att verkställa dem.
