Grupul Lazarus din RDPC Suspectat în Furtul de 286 Milioane Dolari de pe Solana prin Drift Protocol
Drift Protocol, cea mai mare bursă descentralizată de contracte futures perpetue pe rețeaua Solana, a confirmat exploatarea după ce a urmărit cum valoarea sa totală blocată (TVL) s-a prăbușit de la aproximativ 550 milioane dolari la sub 250 milioane dolari într-o singură dimineață, situându-se acum la 232 milioane dolari. Bitcoin.com News a fost primul care a raportat problema. Tokenul DRIFT a scăzut cu până la 37%–42% în orele următoare, atingând un nivel minim apropiat de 0,04-0,05 dolari.
Rapoartele arată că atacul nu a început cu o eroare de cod, ci cu o retragere prin Tornado Cash. Pe 11 martie, atacatorul a retras ETH din protocolul de confidențialitate bazat pe Ethereum și a folosit aceste fonduri pentru a implementa tokenul carbonvote, sau CVT, pe 12 martie. Analiștii blockchain au observat că marcajul temporal al implementării corespundea aproximativ cu ora 09:00, ora Phenianului, un detaliu care a ridicat imediat suspiciuni.
Token DRIFT pe 3 aprilie 2026.Mai multe rapoarte detaliază că în următoarele trei săptămâni, atacatorul a creat lichiditate minimă pentru CVT pe bursa descentralizată Raydium și a folosit tranzacții fictive pentru a menține prețul aproape de 1,00 dolar. Oracolele Drift au interpretat acel preț ca fiind legitim. Atacatorul construise o garanție falsă care părea reală pentru fiecare sistem automatizat care o monitoriza.
"Astăzi, un actor rău intenționat a obținut acces neautorizat la Drift Protocol printr-un atac nou care implică nonce-uri durabile, rezultând într-o preluare rapidă a puterilor administrative ale Consiliului de Securitate al Drift," a scris echipa Drift.
Contul X al proiectului a adăugat:
Aparent, între 23 și 30 martie, atacatorul Drift s-a mutat la nivelul uman. Folosind o funcție legitimă Solana numită nonce-uri durabile, atacatorul a determinat, conform rapoartelor, membrii multisig ai Consiliului de Securitate Drift să pre-semneze tranzacții care păreau de rutină. Acele semnături au devenit chei de acces pre-aprobate, ținute în rezervă până când atacatorul era pregătit.
Oportunitatea s-a închis pe 27 martie, când Drift și-a migrat Consiliul de Securitate la un prag de semnătură de 2 din 5 și și-a eliminat complet timelock-ul. Un timelock forțează de obicei o întârziere de 24-72 de ore asupra acțiunilor administrative, oferind comunității timp să prindă și să inverseze orice lucru suspect. Fără acesta, atacatorul avea autoritate de execuție cu întârziere zero. Tranzacțiile pre-semnate au devenit active în momentul în care timelock-ul a dispărut.
Pe 1 aprilie, atacatorul a activat acele tranzacții, a listat CVT ca garanție validă, a crescut limitele de retragere și a depozitat sute de milioane în tokenuri CVT în schimbul cărora motorul de risc al Drift a emis active reale. Protocolul a predat milioane în tokenuri JLP, milioane în USDC, milioane în SOL și cantități mai mici de bitcoin și ethereum încapsulate. Treizeci și unu de tranzacții de retragere au fost procesate în aproximativ 12 minute.
Atacatorul a convertit tokenurile furate în USDC folosind Jupiter, a făcut bridge către Ethereum și a schimbat în zeci de mii de ETH. Unele fonduri au fost direcționate prin Hyperliquid, iar o porțiune s-a mutat direct către Binance. Pe 3 aprilie, Drift a trimis un mesaj onchain de pe o adresă Ethereum către patru portofele controlate de hackeri. Publicația cryptonomist.ch raportează că mesajul spunea:
Firmele de securitate Elliptic și TRM Labs au atribuit atacul actorilor de amenințare legați de RDPC, citând originea Tornado Cash, semnătura temporală de implementare din ora Phenianului, concentrarea pe inginerie socială și viteza de spălare post-hack. Grupul Lazarus a folosit aceeași abordare de răbdare și țintire umană în atacul asupra podului Ronin din 2022. Guvernul SUA a legat aceste furturi de finanțarea programului de armament al Coreei de Nord, iar Elliptic a urmărit peste 300 milioane dolari furați doar în primul trimestru al anului 2026.
Contagiunea s-a răspândit la peste 20 de protocoale. Prime Numbers Fi a raportat pierderi în milioane. Carrot Protocol a suspendat funcțiile de mint și redeem după ce 50% din TVL-ul său a fost afectat. Pyra Protocol a dezactivat complet retragerile, lăsând toate fondurile utilizatorilor inaccesibile. Piggybank a pierdut 106.000 dolari și a rambursat utilizatorii din propriul trezorerie a echipei.
DeFi Development Corp., o companie listată la Nasdaq cu o strategie de trezorerie Solana, a confirmat pe 1 aprilie că nu avea nicio expunere la Drift. Cadrul său de risc excludea complet protocolul. Acest fapt a atras mai multă atenție decât probabil intenționase compania.
Incidentul Drift a produs o lecție clară pe care majoritatea industriei o știa deja, dar nu o aplicase pe deplin: un timelock nu este opțional. Eliminarea acestei singure măsuri de protecție pe 27 martie a transformat un atac complex, de mai multe săptămâni, într-o retragere de bani de 12 minute. Guvernanța protocolului fără un mecanism de întârziere este guvernanță cu o ușă deschisă.
Următoarele 48 de ore după atacul DeFi au fost descrise ca fiind critice pentru capacitatea Drift de a păstra încrederea utilizatorilor și de a trasa o cale de recuperare. Începând cu 3 aprilie, nu fusese anunțat niciun plan cuprinzător de rambursare.
Întrebări Frecvente 🔎
- Ce s-a întâmplat cu Drift Protocol? Atacatorii au golit 286 milioane dolari din Drift Protocol pe 1 aprilie 2026, folosind garanții false și tranzacții administrative pre-semnate pentru a goli seifurile principale ale protocolului în 12 minute.
- Cine este responsabil pentru hack-ul Drift Protocol? Firmele de securitate, inclusiv Elliptic și TRM Labs, au atribuit atacul actorilor de amenințare legați de RDPC, citând modele de spălare și marcaje temporale onchain consistente cu metodele Grupului Lazarus.
- Sunt banii mei în siguranță pe Drift Protocol? Drift a suspendat toate depozitele și retragerile în urma atacului; utilizatorii în protocoale afectate precum Pyra și Carrot rămân incapabili să acceseze fondurile începând cu 3 aprilie 2026.
- Ce este un atac cu nonce durabil în Solana DeFi? Un atac cu nonce durabil folosește o funcție legitimă Solana pentru a pre-semna tranzacții care par de rutină, păstrându-le ca chei de autorizare active până când atacatorul alege să le execute.
Sursa: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
