Drift Protocol Zhakowany na 285 mln USD: Korea Północna Głównym Podejrzanym

Największy hack DeFi w 2026 roku: 285 milionów dolarów wyprowadzonych w 12 minut

1 kwietnia 2026 roku — i nie, to nie był żart primaaprilisowy — Drift Protocol, jedna z największych zdecentralizowanych platform tradingowych w sieci Solana, został zhakowany na kwotę 285 milionów dolarów. Atak usunął ponad połowę całkowitej wartości zablokowanej (TVL) w protokole i stał się największym exploitem DeFi w tym roku. 
Analiza firmy Elliptic, lidera w dziedzinie analizy blockchain, wskazała „wiele sygnałów”, że atak został przeprowadzony przez hakerów sponsorowanych przez rząd Korei Północnej, prawdopodobnie przez osławioną grupę Lazarus. Jeśli to się potwierdzi, będzie to 18. atak powiązany z Koreą Północną zidentyfikowany przez Elliptic w 2026 roku, z ponad 300 milionami dolarów skradzionymi tylko w tym roku.

Jak doszło do ataku: operacja chirurgiczna

Hack Drift nie był przypadkowym wykorzystaniem błędu w smart kontrakcie. Była to skrupulatnie zaplanowana operacja trwająca tydzień, łącząca inżynierię społeczną, manipulację wyroczniami cenowymi i skoordynowane działania w wysokim tempie.

Faza 1 — Przygotowanie (23–30 marca)

Między 23 a 30 marca napastnicy skonfigurowali durable nonce accounts w Solanie — specjalne konta umożliwiające podpisywanie transakcji z wyprzedzeniem bez ich natychmiastowego wykonania. Jednocześnie zdobyli 2 z 5 wymaganych podpisów multisig Rady Bezpieczeństwa Drift, osiągając minimalny próg do autoryzacji operacji administracyjnych.
Jak zdobyli klucze? Poprzez inżynierię społeczną wymierzoną w członków Rady Bezpieczeństwa. Szczegóły nie zostały ujawnione, ale schemat odpowiada atakom typu spear phishing, z których słynie grupa Lazarus.

Faza 2 — Fałszywy token (CarbonVote Token)

Hakerzy stworzyli fałszywy token o nazwie CarbonVote Token (CVT), dodali 500 USD płynności i przeprowadzili wash trading (transakcje z samym sobą), aby oszukać wyrocznie cenowe Solany i sprawić, by CVT wyglądał jak aktywo z realnym wolumenem.
Dysponując przejętymi kluczami administracyjnymi, dodali CVT jako nowy rynek spot w Drift i — co kluczowe — zwiększyli limity wypłat do 500 bilionów w USDC i czterech innych aktywach. Ten jeden ruch wyłączył wszystkie wewnętrzne mechanizmy bezpieczeństwa protokołu.

Faza 3 — Drenaż (1 kwietnia, 12 minut)

1 kwietnia atakujący najpierw wykonał legalną transakcję, aby nie wzbudzić podejrzeń. Następnie uruchomił wcześniej podpisane złośliwe transakcje. W 31 transakcjach w ciągu zaledwie 12 minut wyprowadzono:

•  66,4 mln USDC 
•  42,7 mln JLP 
•  23,3 mln MOODENG 
•  5,6 mln USDT 
•  5,2 mln USDS 
•  2,6 mln JUP 
•  583 tys. RAY 
•  477 tys. WETH 

Wykorzystanie wielu kluczy podpisu wskazuje, że hakerzy mieli dostęp do kilku autoryzowanych kluczy, a nie tylko jednego. Sugeruje to głębokie naruszenie infrastruktury zarządzania kluczami protokołu.

Powiązania z Koreą Północną

Elliptic wskazał, że zachowanie on-chain ataku — zaplanowane, precyzyjne i obejmujące złożone pranie środków cross-chain — jest zgodne z wcześniejszymi operacjami grupy Lazarus. Charles Guillemet, CTO Ledger, porównał hack Drift do kradzieży 1,4 miliarda dolarów z Bybit w 2025 roku, przypisywanej przez FBI Korei Północnej.
Jeśli się potwierdzi, będzie to kolejny rozdział w systematycznej kampanii kradzieży kryptowalut przez Koreę Północną w celu finansowania programów nuklearnych i rakietowych. Szacuje się, że kraj ten ukradł ponad 6 miliardów dolarów w kryptowalutach od 2017 roku.

Wpływ na rynek

Skutki były natychmiastowe:

•  SOL spadł o 9%, osiągając dzienne minimum na poziomie 78,60 USD 
•  Kapitalizacja Solany spadła do 45,5 miliarda USD 
•  Token DRIFT spadł z 0,072 USD do 0,055 USD 
•  Protokół natychmiast wstrzymał wpłaty i wypłaty 
•  Wormhole ostrzegł o możliwych opóźnieniach w transferach cross-chain 

Fundacja Solana szybko zareagowała. Lily Liu i Vibhu Norby potwierdzili, że hack „nie był spowodowany luką w programie ani smart kontrakcie”, lecz błędem ludzkim w zakresie bezpieczeństwa operacyjnego.

Pytanie o USDC: czy Circle zamrozi środki?

Znaczna część skradzionych środków została zamieniona na USDC, co rodzi kluczowe pytanie: czy Circle zamrozi adresy?
Firma już wcześniej zamrażała adresy objęte sankcjami, m.in. po hacku Ronin Bridge w 2022 roku.
Pozostałe środki zostały rozproszone na wielu portfelach, częściowo zamienione na SOL. Atakujący ściga się z czasem, aby wyprać środki, zanim zostaną namierzone i potencjalnie zamrożone.

Czego to uczy o bezpieczeństwie DeFi

Hack Drift ujawnia niewygodną prawdę: bezpieczeństwo DeFi jest tak silne, jak jego najsłabsze ogniwo — człowiek. Nie ma znaczenia, jak dobrze audytowany jest kod, jeśli klucze administracyjne mogą zostać przejęte poprzez inżynierię społeczną.
Kluczowe wnioski:

•  Multisig 2/5 jest niewystarczający dla ochrony setek milionów dolarów 
•  Durable nonce accounts mogą zostać wykorzystane jako narzędzie ataku 
•  Wyrocznie cenowe nadal są podatne na manipulację 
•  Inżynieria społeczna to najskuteczniejszy wektor ataku w DeFi 
•  Timelocki (opóźnienia 24–48h) mogłyby zapobiec atakowi 

Zastrzeżenie: Ten materiał ma charakter informacyjny i nie stanowi porady inwestycyjnej. Zawsze przeprowadzaj własną analizę przed podjęciem decyzji finansowych.