Найбільший злом DeFi цього року відбувся минулого тижня 1 квітня, коли Drift Protocol, одна з найбільших perp DEX в мережі Solana, зазнала експлойту, внаслідок якого з протоколу зникло приблизно $286 мільйонів. Атака була пов'язана з хакерами, що мають зв'язок з Північною Кореєю, і весь злом відбувся всього за 10 секунд. Вражаючим у цьому зломі була його ретельна природа. Жоден код не був зламаний, і жоден смартконтракт не мав помилки. Розслідування криптофорензичних фірм, таких як Elliptic та TRM Labs, фактично вказують на набагато більш розрахований злом.
Північнокорейські зловмисники провели три тижні, створюючи фейковий токен під назвою CarbonVote, наповнивши його кількома тисячами доларів, щоб він виглядав справжнім, водночас використовуючи соціальну інженерію проти двох із п'яти підписантів Ради безпеки Drift з мультипідписом, змусивши їх заздалегідь підписати приховані дозволи, які вони повністю не розуміли. Після цього вони використали функцію Solana під назвою "durable nonces", щоб тримати ці підписи в резерві більше тижня, чекаючи на потрібний момент. Все, що знадобилося, — це одна транзакція 1 квітня.
Як зазначила Elliptic, ця атака стала 18-м зломом криптовалюти, пов'язаним з Північною Кореєю, лише цього року, вилучивши близько $300 мільйонів. Через чотири дні після злому CTO компанії Ledger офіційно заявив про тривожний характер злому та про те, що ШІ знижує вартість таких атак "до нуля". Ця заява має велике значення, оскільки злом Drift є прикладом того, як працюють такі операції зараз. Зловмисникам не потрібна була вразливість нульового дня або висококласний криптограф. Все, що їм знадобилося, — це терпіння, переконливий фейковий токен і двоє людей, якими вони могли маніпулювати. Злом фактично виявив структурну вразливість у DeFi в його нинішньому вигляді. DeFi будує мільярдну інфраструктуру, захищену невеликими групами людей, яких можна обдурити, тоді як противники стають все кращими в цьому.
Як Північна Корея вкрала $286 мільйонів за 10 секунд
Злом протоколу Drift був витонченим експлойтом, що охоплював три тижні підготовки. Bloomberg вперше повідомив про порушення 1 квітня, коли протокол Drift підтвердив, що приблизно $286 мільйонів активів користувачів було викрадено. Вся схема фактично розпочалася ще 11 березня, коли зловмисник вивів 10 ETH з Tornado Cash приблизно о 9 годині ранку за п'янґянським часом і використав його для розгортання фейкового токена CarbonVote (CVT), повністю вигаданого активу, наповненого кількома тисячами доларів ліквідності та підтримуваного за допомогою вош-трейдингу.
Протягом наступних двох тижнів, між 23 та 30 березня, зловмисник відкрив облікові записи durable nonce, легітимну функцію в мережі Solana, яка дозволяє попередньо підписувати транзакції та зберігати їх безстроково без закінчення терміну дії. Протягом цього періоду зловмисник, використовуючи соціальну інженерію, змусив двох із п'яти підписантів Ради безпеки Drift з мультипідписом схвалити транзакції, які виглядали нормально, але, як пізніше підтвердила TRM Labs, містили приховані дозволи для критичного адміністративного контролю.
Остання деталь з'явилася 27 березня, коли Drift перевела свою Раду безпеки на нову конфігурацію порогу 2/5 з нульовим тайм-локом, як повідомила BlockSec, що фактично усунуло єдину затримку, яка дозволила б комусь помітити те, що насувається. До настання 1 квітня пастка була повністю підготовлена вже кілька днів.
1 квітня зловмисник використав ці попередньо підписані дозволи, щоб додати CarbonVote як дійсну заставу, завищив його вартість до сотень мільйонів через маніпульований оракул та захопив керування. Після цього 31 транзакція на зняття коштів спустошила сховища Drift за лічені секунди. Лише найбільша частина включала токени JLP на суму понад $155 мільйонів разом із десятками мільйонів у USDC, SOL, ETH та інших токенах ліквідного стейкінгу, що були виведені, і загальна заблокована вартість протоколу миттєво впала з приблизно $550 мільйонів до менш ніж $250 мільйонів.
Швидкість злому — це лише одна частина цієї історії. Детальний план, який тривав цілих три тижні та завершився 10-секундним зломом, показав, наскільки легко керування, а не код, може стати найслабшою ланкою в DeFi.
Криптовійна Північної Кореї на $300 мільйонів у 2026 році
Цей злом, нібито здійснений зловмисниками, пов'язаними з Північною Кореєю, аж ніяк не є ізольованою подією. Насправді, якщо подивитися на деякі з найгучніших зломів за останні кілька років, стає очевидним, що це частина набагато більшої, державної кампанії. Лише цього року Elliptic повідомила, що експлойт Drift робить його 18-ю крадіжкою криптовалюти, приписуваною КНДР, підштовхнувши загальну суму викрадених коштів понад $300 мільйонів на цей момент цього року. Якщо подивитися далі цього року, масштаб таких зломів з однієї країни стає дуже важко ігнорувати. Минулого року, за даними TRM Labs, актори, пов'язані з Північною Кореєю, вкрали від $1,92 мільярда, тоді як Chainalysis оцінює цю цифру в $2,02 мільярда в криптовалюті. Це позначило 51% зростання зломів, здійснених цією групою рік до року, і підняло їхнє загальне пограбування до $6,75 мільярда.
Північна Корея відповідала за рекордні 76% усіх компрометацій сервісів у 2025 році, що означає, що одна країна відповідає за переважну більшість крадіжок, що відбуваються в індустрії. На цьому тлі злом Drift, який зараз є другим за величиною експлойтом в екосистемі Solana після порушення Wormhole 2022 року, вписується в патерн атак.
Те, що визначає цей патерн, — це послідовність. Злом Bybit у лютому 2025 року, найбільша крадіжка криптовалюти в історії, мав майже ідентичні налаштування, які включали соціальну інженерію, скомпрометований доступ і скоординований обмін коштів. TRM Labs зазначає, що оператори КНДР дедалі більше покладаються на "китайські пральні" мережі для переміщення коштів через різні блокчейни протягом годин.
Атака на Drift фактично демонструє систему підтримуваних державою команд, що проводять багатотижневі операції з розвідкою, маніпуляцією людьми та глобальною інфраструктурою відмивання, яка вже діє.
ШІ знижує вартість атак "до нуля": попереджає CTO Ledger
Через чотири дні після зливу Drift, CTO Ledger Чарльз Гійме сказав CoinDesk щось, що переосмислило весь інцидент. "Пошук вразливостей та їх експлуатація стає дійсно, дійсно легким," — сказав він. "Вартість знижується до нуля." Гійме не назвав Drift, але описав його точну механіку. ШІ не просто допомагає зловмисникам швидше знаходити помилки в коді, він робить соціальну інженерію більш переконливою, фішинг більш персоналізованим, а підготовчу роботу, на яку північнокорейські оператори витратили три тижні на Drift, дешевшою та більш масштабованою на порядок величини. Він також вказав на проблему, що посилюється, з боку захисту: оскільки все більше розробників покладаються на код, згенерований ШІ, вразливості можуть поширюватися швидше, ніж рецензенти-люди можуть їх виявити. "Немає кнопки 'зробити це безпечним'," — сказав він. "Ми збираємося виробляти багато коду, який буде небезпечним за дизайном." Злами та експлойти спричинили збитки в криптовалюті на $1,4 мільярда за минулий рік, і прогноз Гійме полягає в тому, що крива стає крутішою, а не пологішою.
Злом Drift є найяснішим підтвердженням концепції цього попередження. Зловмисники ніколи не торкалися коду, вони націлювалися на двох людей, які тримали ключі. ШІ не потрібно зламувати смартконтракт, якщо він може створити достатньо переконливий привід, щоб обдурити підписанта з мультипідписом, щоб схвалити транзакцію, яку вони повністю не розуміють. Гійме очікує, що індустрія розділиться: критичні системи, такі як гаманці та основні протоколи, будуть значно інвестувати в безпеку та адаптуватися, але більша частина ширшої екосистеми програмного забезпечення може мати труднощі з підтримкою темпу. Його рекомендовані виправлення, формальна верифікація з використанням математичних доказів, апаратна ізоляція для приватних ключів, структурно обґрунтовані, але вимагають рівня інституційної дисципліни, якого більшість протоколів DeFi, включаючи Drift, ще не впровадили. "Коли у вас є виділений пристрій, не підключений до інтернету, він більш безпечний за дизайном," — сказав він. Рада безпеки Drift не мала такого буфера. Два підписи, нульовий тайм-лок і фейковий токен — це все, що знадобилося.
Що відбувається далі: відновлення Drift та реакція індустрії
Те, що відбувається далі для Drift Protocol, далеко не ясно, і ранні сигнали вже розділяють індустрію. Одразу після цього Анатолій Яковенко запропонував потенційний шлях відновлення: випуск аірдропу токенів у стилі IOU постраждалим користувачам, віддзеркалюючи стратегію Bitfinex 2016 року після його злому на $72 мільйони.
Ідея проста — соціалізувати збитки зараз, повернути користувачам з часом, якщо протокол відновиться. Але контекст дуже різний. TVL Drift скоротився майже вдвічі, депозити та зняття коштів залишаються призупиненими, і, на відміну від Bitfinex, він не має централізованого механізму доходів для підтримки цих зобов'язань. Це призвело до негайного опору: токени IOU, у цьому випадку, ризикують стати суто спекулятивними інструментами без чіткого шляху до погашення.
Водночас ончейн-активність викликає нові занепокоєння. Onchain Lens відзначив, що гаманець, пов'язаний з командою Drift, переказав 56,25 мільйона токенів DRIFT (≈$2,44 мільйона) на централізовані біржі, включаючи Bybit та Gate, незабаром після експлойту, що зазвичай передує тиску на продаж і підживило спекуляції про інсайдерське позиціонування під час кризи ліквідності.
Тим часом кошти зловмисника вже були переміщені через блокчейни, найголовніше до Ethereum, зменшуючи ймовірність значного повернення з кожним днем. Більш широкий наслідок полягає в тому, що цей інцидент не закінчиться на Drift. Це, ймовірно, прискорить загальногалузеву перевірку самого керування DeFi, від стандартів безпеки мультипідпису та вимог до тайм-локу до дизайну оракулів та контролю виконання. Те, що станеться далі, залежить від трьох змінних: чи зможе Drift представити надійний план відновлення, чи можна відстежити або заморозити будь-яку частину коштів, і чи це нарешті змусить провести структурну реформу, або стане просто ще одним дорогим уроком, який індустрія переживе.
Якщо ви читаєте це, ви вже попереду. Залишайтеся там з нашою розсилкою.
Джерело: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
