DPRK Lazarus Group kahtlustatakse Drift Protocoli $286 miljoni Solana varguses
Drift Protocol, suurim decentraliseeritud püsivate tulevaste tehingute börs Solana võrgus, kinnitas rünnaku pärast seda, kui selle kogu lukustatud väärtus (TVL) kollas ühe päeva jooksul umbes $550 miljonilt alla $250 miljoni, praegu seistes $232 miljonil. Bitcoin.com News oli esimene, kes teatas sellest probleemist. DRIFT-taani hind langes järgnevates tundides kuni 37–42%, põhjendades $0,04–$0,05 piirkonnas.
Raportid märgivad, et rünnak algas mitte koodiveaga, vaid Tornado Cashi väljavõtuga. 11. märtsil tõi rünnaku sooritanud isik ETH-d Ethereumi põhise privaatsusprotokolli kaudu ja kasutas neid vahendeid 12. märtsil carbonvote-taani (CVT) käivitamiseks. Blockchaini analüütikud märkasid, et käivitamise ajatempel vastas umbes 09:00 Pyongyangi ajale – see detail püüdis kohe tähelepanu.
DRIFT-taani 3. aprillil 2026.Mitmed raportid kirjeldavad, et järgnevatel kolmel nädalal andis rünnaku sooritanud isik Raydiumi decentraliseeritud börsil CVT-le minimaalset likviidsust ja kasutas pesupankrotit (wash trading), et hoida hinda ligikaudu $1,00 juures. Drifti oraklid lugesid seda hinda õigeks. Rünnaku sooritanud isik oli loonud valelikku tagatisvara, mis näis igale automaatsele süsteemile reaalsete andmetena.
„Täna varasemal ajal saavutas kurja tegija Drift Protocoli juurde ebaseadusliku ligipääsu uue, kestvate nonce’ide (durable nonces) kasutamise kaudu, mis viis kiirelt Drifti turvalisusnõukogu haldusvolituste üle võtmiseni,“ kirjutas Drifti meeskond.
Projekti X-konto lisas:
Oletatavalt liikus Drifti rünnaku sooritanud isik 23.–30. märtsini inimkihi poole. Kasutades Solana legitiimselt olemasolevat funktsiooni – kestvaid nonce’ide (durable nonces) – indutseti Drifti turvalisusnõukogu multisig-liikmeid eelnevalt allkirjastama tavaliselt välja näivaid tehinguid. Need allkirjad muutusid eelnevalt heaks kiidetud ligipääsukoodideks, mida hoiti varus, kuni rünnaku sooritanud isik oli valmis.
Aken suleti 27. märtsil, kui Drift migreeris oma turvalisusnõukogu 2-st 5-le allkirjastamise lävele ja eemaldas oma ajaluku (timelock) täielikult. Ajaluku kasutatakse tavaliselt administraatorite tegevuste jaoks 24–72 tunni viivituse rakendamiseks, andes kogukonnale aega kahtlaseid toiminguid tuvastada ja tühistada. Selle puudumisel sai rünnaku sooritanud isik nullviivitusega täitmise volitused. Eelnevalt allkirjastatud tehingud said elusaks hetkel, kui ajaluku eemaldati.
1. aprillil aktiveeris rünnaku sooritanud isik need tehingud, loetles CVT-i kehtiva tagatisvarana, tõstis väljavõtmise piiranguid ning depositeeris sadu miljoneid CVT-taane, mille vastu andis Drifti riskimootor välja reaalset vara. Protokoll andis välja miljoneid JLP-taane, miljoneid USDC-d, miljoneid SOL-i ning väiksemi summasid ümbritsetud bitcoinist ja ethereumist. 31 väljavõtmistehingut läbis umbes 12 minutiga.
Rünnaku sooritanud isik teisaldas varastatud taanid Jupiteri kaudu USDC-ks, ühendas need Ethereumiga ja vahetas need kümneteks tuhandeteks ETH-iks. Mõned vahendid suunati läbi Hyperliquid’i ja osa liikus otse Binance’isse. 3. aprillil saatis Drift Ethereumi aadressilt nelja rünnaku sooritanud isiku kontrolli all olevasse rahakotisse ahela sees (onchain) sõnumi. Avaldus cryptonomist.ch teatab, et sõnum sisaldas:
Turvalisusfirmad Elliptic ja TRM Labs on seotud selle rünnakuga DPRK-ga seotud ohtlike teguritega, viidates Tornado Cashi päritolule, Pyongyangi ajas registreeritud käivitamise allkirjale, sotsiaalse inseneritöö (social engineering) rõhule ja pärast rünnakut toimunud rahapesu kiirusele. Lazarus Group kasutas sama kannatlikkust ja inimesele suunatud lähenemist 2022. aasta Ronin-silla rünnakus. Ameerika Ühendriikide valitsus on seotud need vargused Põhja-Korea relvaprogrammi rahastamisega ja Elliptic on jälginud ainuüksi 2026. aasta esimeses kvartalis üle $300 miljoni varguse.
Nakkus levikus rohkem kui 20 protokollile. Prime Numbers Fi teatas kaotustest miljonites. Carrot Protocol peatas müntimise ja tagasivõtmise funktsioonid pärast seda, kui tema TVL-st mõjutati 50%. Pyra Protocol keelas väljavõtmised täielikult, jättes kõik kasutajate vahendid ligipääsmatuks. Piggybank kaotas $106 000 ja hüvitab kasutajaid oma meeskonna rahakotist.
DeFi Development Corp., Nasdaqil noteeritud ettevõte, millel on Solana rahakoti strateegia, kinnitas 1. aprillil, et tal ei ole Driftiga seotud riski. Selle riskiraamistik välistas protokolli täielikult. See fakt tõi ettevõttele rohkem tähelepanu, kui see tõenäoliselt soovis.
Drifti juhtunud juhtum andis ühe selge õppetunni, mida enamik tööstust juba teadis, kuid mida pole veel täielikult rakendatud: ajaluku kasutamine pole valikuline. Selle ühe ohutusmeetme eemaldamine 27. märtsil muutis keerukat, mitmepäevast rünnakut 12-minutiliseks raha väljatõmbamiseks. Protokolli valitsemisega ilma viivitusmehhanismita on valitsemisega lahti olev ust.
DeFi-rünnaku järgsed 48 tundi olid Drifti jaoks kriitilised selleks, et säilitada kasutajate usaldus ja joonestada taastumise teekond. 3. aprillil 2026 ei olnud veel avaldatud üleüldist hüvituskava.
KKK 🔎
- Mis juhtus Drift Protocoliga? Rünnaku sooritanud isikud tühjendasid 1. aprillil 2026 Drift Protocoli $286 miljonit kasutades valelikku tagatisvara ja eelnevalt allkirjastatud halduslikke tehinguid, et tühjendada protokolli põhivaramu 12 minutiga.
- Kes on vastutav Drift Protocoli rünnaku eest? Turvalisusfirmad, sealhulgas Elliptic ja TRM Labs, on seotud selle rünnaku DPRK-ga seotud ohtlike teguritega, viidates rahapesu musteritele ja ahela sees (onchain) registreeritud ajatemplitele, mis vastavad Lazarus Groupi traditsioonilisele tööviisile.
- Kas mu raha on Drift Protocolis turvaline? Drift peatas kõik sissemaksed ja väljavõtmised pärast rünnakut; kasutajad mõjutatud protokollides, nagu Pyra ja Carrot, ei saa 3. aprillil 2026 seisuga enda vahendeid ligi.
- Mis on kestvate nonce’ide (durable nonce) rünnak Solana DeFis? Kestvate nonce’ide rünnak kasutab Solanas olemasolevat legitiimselt lubatud funktsiooni, et eelnevalt allkirjastada tehinguid, mis näevad välja tavalistena, ja hoida neid elusaks volitusena kuni rünnaku sooritanud isik otsustab neid täita.
Source: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
