#DriftProtocolHacked DriftProtocolHacked: Повний аналіз DeFi-крадіжки, пов’язаної з Північною Кореєю

Коротка версія: 1 квітня 2026 року #DriftProtocolHacked так, справжня атака, а не жарт$285M , найбільша перпетуальна біржа Solana Drift Protocol втратила близько (мільйонів), що зараз називають найскладнішою соціальною інженерією в історії DeFi. Зловмисники протягом $285 шести місяців$1 створювали довіру, зустрічалися з командою особисто, вносили понад (мільйонів) власних коштів і, зрештою, зламали підписувальні машини, щоб вивести всі кошти за 12 хвилин.

---

1. Хронологія: як це сталося

Виконання атаки $285 1 квітня 2026(

· Загальна втрата: близько )мільйонів( на кількох пуллах: JLP )~$155.6М(, USDC, SOL, cbBTC, wBTC, WETH і мем-коіни
· Метод: Зловмисники активували попередньо підписані транзакції з "стійким nonce", вказували фальшиві CVT-токени як дійсне забезпечення, піднімали ліміти виведення до максимуму і все вивели
· Швидкість: 31 транзакція виведення за ~12 хвилин
· Моментальний обмін: Вкрадені активи обміняли на ~129 000 ETH (~$278М) через Jupiter, перевели на Ethereum

Миттєва реакція

· Вклади/виведення миттєво заблоковані
· Drift підтвердив: "Це не жарт 1 квітня"
· Усі функції протоколу призупинені; зламані гаманці видалені з мультиsig

---

2. Шестимісячна інфільтрація: структурована розвідка

Це був не баг або випадкова хакерська атака. Це була масштабна шпигунська операція.

Фаза 1: Перший контакт )осінь 2025(

Особи, що видавали себе за квантову торгову фірму, підійшли до учасників Drift на великій криптоконференції. Вони були технічно просунуті, заслуговували довіри і одразу створили групу в Telegram.

Фаза 2: Побудова довіри )грудень 2025 - січень 2026$1

· Впровадили легітимний Ecosystem Vault на Drift
· Внесли понад (мільйонів) власних коштів для створення довіри
· Провели кілька робочих сесій щодо торгових стратегій і інтеграцій
· Зустрічалися з учасниками Drift особисто на конференціях у кількох країнах

Фаза 3: Технічний компроміс (лютий - березень 2026)

Виявлено два ймовірні вектори атаки:

Вектор Метод
Зловмисний репозиторій Зловмисник поширював код у репозиторії під виглядом розгортання фронтенду Vault. Вразливість VSCode/Cursor (згадана грудень 2025 - лютий 2026) дозволяла безшумне виконання довільного коду просто відкривши папку — без кліків і попереджень.
TestFlight App Зловмисник переконаний встановити бета-версію "гаманця" через Apple TestFlight (який обходить перевірку безпеки App Store)

Після зламу машин зловмисники отримали дозволи мультиsig через неправдиві транзакції.

Фаза 4: Ловушка готова (27 березня 2026)

Drift переніс свій Security Council у мультиsig 2 з 5 з 0-секундним таймлоком — тобто адміністративні дії могли виконатися миттєво. Попередньо підписані транзакції вже чекали.

Фаза 5: Виконання (1 квітня 2026)

· Зловмисники активували сплячі транзакції
· Телеграм-чат і шкідливе програмне забезпечення були повністю очищені в момент початку атаки
· Кошти виведені за 12 хвилин

---

3. Відповідальність: Північна Корея, UNC4736 (Лазаревська підгрупа)

З середньо-високою впевненістю Drift і команда SEAL 911 приписують цю атаку UNC4736 $50M також відомі як AppleJeus, Citrine Sleet, Gleaming Pisces( — ту саму групу, що стояла за хакінгом Radiant Capital у жовтні 2024 )збитки ~$625М(

Докази, що пов’язують DPRK:

· Взаємозв’язки в блокчейні: потоки коштів, що використовувалися для організації операції Drift, простежуються до зловмисників Radiant Capital
· Операційні шаблони: той самий підхід до цілеспрямованих атак на людей, застосований у хакінгу мосту Ronin 2022 )$625М$285
· Витік з Tornado Cash: атака почалася з виведення ETH з Tornado Cash 11 березня
· Таймстамп у Пхеньяні: час розгортання CVT збігся з ~09:00 за пхеньянським часом
· Швидкість відмивання: миттєве крос-ланцюгове конвертування в ETH без блокування CEX

Ключовий зауважень: Люди, що зустрічалися особисто, НЕ були громадянами Північної Кореї

"Особи, які з’явилися на конференціях особисто, не були громадянами DPRK. Актори загроз із Північної Кореї, що працюють на цьому рівні, відомі тим, що використовують посередників із фальшивими, але ідеальними особистими даними — історіями працевлаштування, публічними документами, професійними мережами, здатними витримати перевірку."

---

4. Технічний розбір: як працював експлойт

Атака "Зміцненого Nonce"

Solana має функцію під назвою "стійкий nonce", яка дозволяє попередньо підписувати транзакції й виконувати їх пізніше. Зловмисники:

1. Змусили підписантів мультиsig схвалити нібито рутинні транзакції
2. Ці схвалення стали активними ключами авторизації, що зберігалися в резерві
3. Коли 27 березня зняли таймлок, попередньо підписані транзакції активувалися миттєво

Схема фальшивого забезпечення

1. 11 березня: зловмисник вивів ETH з Tornado Cash
2. 12 березня: розгорнув токен "CVT" (carbonvote)
3. За 3 тижні: створив мінімальну ліквідність на Raydium, використовував wash-трейдинг для підтримки ціни ~$1.00
4. 1 квітня: оракули Drift визначили CVT як легітимне забезпечення → зловмисник вніс фальшивий CVT → протокол видав реальні активи під нього

---

5. Наслідки: хто постраждав

Прямі втрати: близько (мільйонів)

Активи Кількість Вартість (USD)
JLP токени ~41.7М ~$155.6М
USDC Різне ~$80-100М
SOL Різне Значно
cbBTC/wBTC/WETH Різне Решта

Постраждалі протоколи (зараження)

· Prime Numbers Fi: втрачені мільйони
· Carrot Protocol: призупинив функції mint/redeem після втрати 50% TVL
· Pyra Protocol: повністю вимкнені виведення
· Piggybank: втратив $106 000 #DriftProtocolHacked відшкодовані з казни$230

Відповідь Jupiter

"Jupiter Lend не залучений до ринків Drift. Активи JLP повністю забезпечені базовими активами. Це важкий день для Solana DeFi."

Токени, що не постраждали

· Unitas Protocol
· Meteora
· Perena (хоча їхній нейтральний JLP Vault був уражений)

---

6. Спір навколо стейблкоїнів: Circle vs. Tether

З’явилася велика вторинна історія: чому Circle не заблокувала вкрадений USDC?

Цифри

· (мільйонів) USDC було переведено з Solana на Ethereum через Cross-Chain Transfer Protocol (CCTP)
· Це сталося за шість годин без будь-яких дій

Контраст

Реакція протоколів
USDT0 (Tether) припинив крос-ланцюгову комунікацію на Solana за 90 хвилин
Circle CCTP — безфункціонально, без участі — протокол працював без дозволу

Критика

Аналитик на блокчейні ZachXBT публічно критикував бездіяльність Circle. Спостерігачі від галузі зазначили, що це демонструє фундаментальний компроміс у дизайні: централізований контроль для екстрених ситуацій (USDT0) проти децентралізованої permissionless системи (CCTP)

Для контексту засновник Curve Finance Майкл Егоров зазначив: "Якщо за цим стоять хакери з Північної Кореї, шанс на відновлення — нуль. Вони ніколи не співпрацюють і не бояться правоохоронних органів."

---

7. Реакція Drift та зусилля з відновлення

Миттєві дії $200 1-3 квітня$10

· Усі функції протоколу заблоковані
· Зламані гаманці вилучені з мультиsig
· Адреси зловмисників позначені на біржах і через мостові оператори
· На блокчейні надіслані повідомлення: "Ми готові до спілкування"

Спроба переговорів (3 квітня)

Drift надіслав повідомлення на 4 Ethereum-гаманці з викраденими коштами, де зазначено:

"Виявлено критичну інформацію про учасників, пов’язаних із експлоїтом. Ком’юніті, Drift надасть додаткові оновлення, як тільки буде завершена атрибуція третьої сторони."

Єдиний відповідь? Випадковий гаманець з ETH відповів: *"Відправ мені $1 мільйон, щоб потролити команду Drift."*

Форензічна експертиза

· Mandiant залучена до керівництва розслідуванням
· Команда SEAL 911 (Taylor Monahan, tanuki42_, pcaversaccio, Nick Bax) — визнані за ідентифікацію акторів
· Офіційна атрибуція очікує завершення аналізу пристроїв

Що сказав tanuki42_

"Це найскладніша і найцільовіша атака, яку я бачив від DPRK у криптосфері. Наймання кількох посередників і їхня цільова атака конкретних людей на великих криптоконференціях — це шалена тактика."

---

8. Чому це змінює все для DeFi

Гірка правда

"Якщо зловмисники готові витратити шість місяців, інвестувати $300M мільйонів( в екосистему, зустрічатися з командами особисто, вносити реальний капітал і чекати — яку модель безпеки вони мають на увазі для виявлення цього?"

Уроки

1. Таймлоки — не опція. Зняття таймлоку )як зробив Drift 27 березня( — перетворює складну атаку на швидкий вивід за 12 хвилин
2. Соціальна інженерія > кодові експлойти. Найскладніший аудит коду не зупинить людину від відкриття шкідливої папки VSCode або встановлення TestFlight
3. Важливість permissioned vs. permissionless безпеки. Контраст USDT0 )Tether( і CCTP показує реальні компроміси у дизайні стейблкоїнів
4. Північна Корея тут надовго. Elliptic зафіксувала понад )століт( вкрадених коштів у Q1 2026, причетні до $6.5 млрд+ у останні роки

Що далі для Drift

· Якщо кошти не відновлять або не з’явиться великий резерв — ймовірно, шлях веде до ліквідації, банкрутства або судових процесів
· Офіційних планів компенсації станом на 3-5 квітня не оголошено
· Ймовірність відновлення за участі DPRK: 0% )згідно з Майклом Егоровим#DriftProtocolHacked

---

9. Ключові гаманці та дані на блокчейні

Гаманці з ETH зловмисників #DriftProtocolHacked Post-bridge

· 0xAa843eD65C1f061F111B5289169731351c5e57C1
· 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7
· 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674

Загалом зберігається: ~105 969 ETH (~$226М)

Відправник повідомлень на блокчейні Drift:

· 0x0934faC45f2883dd5906d09aCfFdb5D18aAdC105

---

Фінальний висновок

Це не був хак. Це була шістьмісячна ворожа розвідка, проведена державою проти DeFi-протоколу. Зловмисники:

· Використовували посередників із фальшивими, але ідеальними особистими даними
· Зустрічалися з цільовими особами особисто на конференціях у кількох країнах
· Вносили понад $1М реального капіталу для прикриття
· Використовували довірені інструменти розробника VSCode і TestFlight від Apple
· Провели ідеально скоординований, 12-хвилинний вивід

Якщо DeFi хоче вижити, галузі потрібно визнати, що соціальна інженерія і державні актори — тепер основна загроза, а не просто баги у смарт-контрактах.

"Розслідування показало, що профілі використовували повністю сконструйовані особистості, включаючи історії працевлаштування, публічні дані та професійні мережі, здатні витримати перевірку під час ділових стосунків." — Drift Protocol