#DriftProtocolHacked #DriftProtocolHacked

Изысканная атака с использованием фальшивого залога, предподписанных транзакций и тактики группы Lazarus из Северной Кореи стерла более половины TVL Drift 1 апреля 2026 года.

Краткое описание атаки

1 апреля 2026 года крупнейшая децентрализованная биржа перпетуальных фьючерсов Solana, Drift Protocol, понесла катастрофический взлом, в результате которого было потеряно $286 миллионов долларов на нескольких хранилищах активов.

Что делает эту атаку особенно тревожной, так это то, что она не связана с уязвимостью смарт-контракта или компрометацией seed-фраз. Вместо этого злоумышленники осуществили тщательно спланированную операцию, сочетающую:

· Социальную инженерию подписантов мультиподписей
· Надежные предподписанные транзакции
· Создание фальшивого залога стоимостью $0 манипулировано так, чтобы выглядеть как более $100М+
· Удаление защитных механизмов таймлоков

TVL рухнул с примерно $550 миллионов до менее $250 миллионов за час. Токен DRIFT упал на 45%, достигнув около $0.04.

---

Хронология: операция длительностью 3 недели

Этап 1: Настройка инфраструктуры (11-23 марта)

Операция началась 11 марта, когда злоумышленник вывел ETH из Tornado Cash, протокола для обеспечения приватности. 12 марта они развернули токен CarbonVote (CVT) — особенно в примерно 09:00 по пхеньянскому времени, что стало тревожным сигналом, связавшим атаку с Северной Кореей.

В последующие недели злоумышленник:

· Создал 750 миллионов токенов CVT (стоимостью примерно $0)
· Вложил минимальную ликвидность (~$500) на Raydium DEX
· Использовал wash-трейдинг для искусственного поддержания цены CVT около $1.00
· Создал 4 аккаунта с надежными nonce — 2 связанные с подписантами Совета Безопасности Drift, 2 под контролем злоумышленника

Этап 2: Предподписание и компрометация мультиподписей (23-30 марта)

Используя функцию надежных nonce Solana (, которая позволяет предподписывать транзакции для последующего выполнения без истечения срока), злоумышленник заставил членов Совета Безопасности Drift предварительно подписать, казалось бы, рутинные транзакции — но на самом деле это были вредоносные ключи авторизации, хранящиеся в резерве.

27 марта Drift выполнил запланированную миграцию мультиподписей, перейдя к порогу 2 из 5 подписантов и — что критически важно — полностью удалив таймлок. Обычно таймлок заставляет задержки в 24-72 часа для административных действий, давая сообществам время на реакцию. Без него злоумышленник получил право на выполнение транзакций без задержек.

К 30 марта злоумышленник восстановил доступ к 2 из 5 подписантов в новой структуре мультиподписей.

Этап 3: Исполнение — 12 минут до $286M (1 апреля)

Время (UTC) Действие
16:05:39 Злоумышленник активирует предподписанные транзакции, признает CVT допустимым залогом, повышает лимиты на вывод до ~500 триллионов (эффективно бесконечно)
16:05:41 Вносит 500М токенов CVT — манипулируя значениями оракула, что оценивается в $100М+
16:05:43-16:17 31 транзакция вывода выводит реальные активы: JLP, USDC, SOL, cbBTC, wETH и другие

Вся эта операция заняла меньше времени, чем заказ кофе.

Атака объединила три критических действия в одну транзакцию:

1. Инициализация спотового рынка CVT с оракулом Switchboard под контролем злоумышленника
2. Установка веса залога CVT на максимум — бесполезные токены считаются основным залогом
3. Отключение защитных механизмов вывода — снятие всех лимитов на вывод активов

#DriftProtocolHacked

Что было украдено

Злоумышленник опустошил несколько хранилищ по всему протоколу:

Активы Количество украдено (приблизительно)
Токены JLP $155.6 миллионов
USDC $60.4 миллиона
cbBTC $11.3 миллиона
USDS $5.3 миллиона
FARTCOIN $4.1 миллиона
WBTC $4.4 миллиона
WETH $4.7 миллиона
JitoSOL $3.6 миллиона
SYRUPUSDC $3.3 миллиона
INF $2.5 миллиона
MSOL $2.0 миллиона

Источник: данные на блокчейне через @officer_secret

Хранилище JLP было полностью опустошено.
#DriftProtocolHacked

Кто стоит за атакой?

Компании Elliptic и TRM Labs связали атаку с угрозами, исходящими из DPRK (Северной Кореи), в частности, с группой Lazarus.

Доказательства атрибуции включают:

· Происхождение Tornado Cash для первоначальной подготовки
· Время развертывания CVT совпадает с рабочими часами Пхеньяна (09:00)
· Продвинутые тактики социальной инженерии — такие же, как при взломе моста Ronin в 2022 году
· Скорость отмывания после взлома и кросс-чейн паттерны
· Использование надежных nonce — соответствующее торговым методам DPRK

«Это была очень сложная операция, которая, судя по всему, включала многонедельную подготовку и поэтапное выполнение, включая использование аккаунтов с надежными nonce для предподписания транзакций, что задерживало их выполнение.»
— Официальное заявление Drift Protocol

Если подтвердится, это станет 18-м взломом криптовалют, связанным с DPRK, в 2026 году, с украденными более @