Największy hack DeFi w tym roku miał miejsce w zeszłym tygodniu, 1 kwietnia, kiedy Drift Protocol, jeden z największych perp DEX-ów w sieci Solana, doświadczył exploitu, w wyniku którego z protokołu zniknęło około 286 milionów dolarów. Atak był powiązany z hakerami związanymi z Koreą Północną, a całe włamanie trwało zaledwie 10 sekund. Co jednak zadziwiające w tym hacku, to jego drobiazgowy charakter. Żaden kod nie został złamany i żaden inteligentny kontrakt nie miał błędu. Śledztwa przeprowadzone przez firmy kryminalistyki kryptowalutowej, takie jak Elliptic i TRM Labs, wskazują w rzeczywistości na znacznie bardziej przemyślany hack.
Atakujący z Korei Północnej spędzili trzy tygodnie na tworzeniu fałszywego tokena o nazwie CarbonVote, zasiewając go kilkoma tysiącami dolarów, aby wyglądał na prawdziwy, jednocześnie stosując socjotechnikę wobec dwóch z pięciu sygnatariuszy multisig Rady Bezpieczeństwa Drift, skłaniając ich do wcześniejszego podpisania ukrytych autoryzacji, których nie do końca rozumieli. Następnie wykorzystali funkcję Solany zwaną "durable nonces", aby przechowywać te podpisy w rezerwie przez ponad tydzień, czekając na odpowiedni moment. Wystarczyła jedna transakcja 1 kwietnia.
Jak zauważył Elliptic, ten atak był 18. hackiem kryptowalutowym powiązanym z Koreą Północną w samym tym roku, wyprowadzając około 300 milionów dolarów z przestrzeni. Cztery dni po hacku CTO Ledgera oficjalnie podkreślił alarmujący charakter włamania i że sztuczna inteligencja obniża koszt takich ataków "do zera". To stwierdzenie ma duże znaczenie, ponieważ hack Drift jest studium przypadku pokazującym, jak działają obecnie takie operacje. Atakujący nie potrzebowali podatności zero-day ani najwyższej klasy kryptografa. Wszystko, czego potrzebowali, to cierpliwość, przekonujący fałszywy token i dwie osoby, którymi mogli manipulować. Hack faktycznie odsłonił strukturalną podatność w DeFi w obecnej postaci. DeFi buduje infrastrukturę wartą miliardy dolarów zabezpieczoną przez małe grupy ludzi, których można oszukać, podczas gdy przeciwnicy stają się coraz lepsi w robieniu właśnie tego.
Jak Korea Północna Ukradła 286 Milionów Dolarów w 10 Sekund
Hack protokołu Drift był wyrafinowanym exploitem, który obejmował trzy tygodnie przygotowań. Bloomberg jako pierwszy poinformował o naruszeniu 1 kwietnia, kiedy protokół Drift potwierdził, że wypompowano około 286 milionów dolarów w aktywach użytkowników. Cały schemat faktycznie rozpoczął się już 11 marca, kiedy atakujący wyciągnął 10 ETH z Tornado Cash około 9 rano czasu pjongjanskiego i użył go do wdrożenia fałszywego tokena CarbonVote (CVT), całkowicie fikcyjnego aktywa zasianego kilkoma tysiącami dolarów płynności i utrzymywanego przy życiu poprzez wash trading.
W ciągu następnych dwóch tygodni, między 23 a 30 marca, atakujący otworzył konta durable nonce, legalną funkcję w sieci Solana, która pozwala na wcześniejsze podpisanie transakcji i przechowywanie ich bezterminowo bez wygasania. W tym oknie atakujący zastosował socjotechnikę wobec dwóch z pięciu sygnatariuszy multisig Rady Bezpieczeństwa Drift, skłaniając ich do zatwierdzenia transakcji, które wyglądały normalnie, ale, jak później potwierdził TRM Labs, zawierały ukryte autoryzacje do krytycznej kontroli administratora.
Ostatni element pojawił się 27 marca, kiedy Drift przeniósł swoją Radę Bezpieczeństwa do nowej konfiguracji progu 2/5 z zerowym timelockiem, jak poinformował BlockSec, co zasadniczo usunęło jedyne opóźnienie, które pozwoliłoby komukolwiek wychwycić to, co nadchodzi. Zanim nadszedł 1 kwietnia, pułapka była w pełni załadowana od dni.
1 kwietnia atakujący wykorzystał te wcześniej podpisane zgody, aby wymienić CarbonVote jako ważne zabezpieczenie, zawyżył jego wartość do setek milionów poprzez zmanipulowaną cenę oracle, a zarządzanie zostało przejęte. Stamtąd 31 transakcji wypłat opróżniło skarbce Drift w ciągu kilku sekund. Sama największa część obejmowała ponad 155 milionów dolarów wartości tokenów JLP wraz z dziesiątkami milionów w USDC, SOL, ETH i innych tokenach liquid staking, a Total Value Locked w protokole natychmiast spadła z około 550 milionów do poniżej 250 milionów dolarów.
Ta szybkość hacku to tylko jedna część tej historii. Szczegółowy plan, który trwał aż trzy tygodnie, a zakończył się 10-sekundowym hackiem, pokazał, jak łatwo zarządzanie, a nie kod, może stać się najsłabszym ogniwem w DeFi.
Wojna Kryptowalutowa Korei Północnej o Wartości 300 Milionów Dolarów w 2026 Roku
Ten hack, rzekomo przeprowadzony przez atakujących powiązanych z Koreą Północną, w żadnym wypadku nie jest odosobnionym zdarzeniem. W rzeczywistości, jeśli przyjrzeć się niektórym z najbardziej głośnych hacków z ostatnich kilku lat, staje się oczywiste, że jest to część znacznie większej, kierowanej przez państwo kampanii. Tylko w tym roku Elliptic poinformował, że exploit Drift czyni go 18. kradzieżą kryptowalut przypisywaną KRLD, podnosząc całkowitą kwotę wypompowanych środków powyżej 300 milionów dolarów do tej pory w tym roku. Jeśli spojrzeć poza ten rok, skala takich hacków z jednego kraju staje się bardzo trudna do zignorowania. W zeszłym roku podmioty powiązane z Koreą Północną ukradły między 1,92 miliarda dolarów według TRM Labs, podczas gdy Chainalysis podaje tę liczbę na 2,02 miliarda dolarów w kryptowalutach. Oznaczało to 51% wzrost rok do roku w hackach przeprowadzanych przez tę grupę i podniosło ich całkowity łup do 6,75 miliarda dolarów.
Korea Północna odpowiadała za rekordowe 76% wszystkich naruszeń usług w 2025 roku, co oznacza, że jeden kraj jest odpowiedzialny za przytłaczającą większość kradzieży mających miejsce w branży. Na tym tle hack Drift, który jest obecnie drugim co do wielkości exploitem w ekosystemie Solana po naruszeniu Wormhole z 2022 roku, wpisuje się we wzorzec ataków.
To, co definiuje ten wzorzec, to konsekwencja. Hack Bybit w lutym 2025 roku, największa kradzież kryptowalut w historii, miał niemal identyczne ustawienia, które obejmowały socjotechnikę, naruszony dostęp i skoordynowaną wymianę środków. TRM Labs zauważa, że operatorzy KRLD coraz bardziej polegają na sieciach "chińskich pralni" w celu przerzucania środków między różnymi łańcuchami w ciągu godzin.
Atak Drift faktycznie pokazuje system zespołów wspieranych przez państwo prowadzących wielotygodniowe operacje z rozpoznaniem, manipulacją ludźmi i już wdrożoną globalną infrastrukturą prania pieniędzy.
AI Obniża Koszty Ataków "Do Zera": Ostrzega CTO Ledgera
Cztery dni po drenażu Drift, CTO Ledgera Charles Guillemet powiedział CoinDesk coś, co na nowo sformułowało cały incydent. "Znajdowanie podatności i ich wykorzystywanie staje się naprawdę, naprawdę łatwe", powiedział. "Koszt spada do zera". Guillemet nie wymienił Drift, ale opisał jego dokładną mechanikę. AI nie tylko pomaga atakującym szybciej znajdować błędy w kodzie, sprawia, że socjotechnika jest bardziej przekonująca, phishing bardziej spersonalizowany, a praca przygotowawcza, którą operatorzy z Korei Północnej spędzili trzy tygodnie wykonując na Drift, tańsza i bardziej skalowalna o rząd wielkości. Wskazał również na nasilający się problem po stronie obronnej: w miarę jak coraz więcej programistów polega na kodzie generowanym przez AI, podatności mogą rozprzestrzeniać się szybciej, niż ludzcy recenzenci mogą je wychwycić. "Nie ma przycisku 'uczyń to bezpiecznym'", powiedział. "Będziemy produkować dużo kodu, który będzie z założenia niebezpieczny". Hacki i exploity spowodowały 1,4 miliarda dolarów strat w kryptowalutach w ciągu ostatniego roku, a projekcja Guillemeta jest taka, że krzywa staje się bardziej stroma, a nie płaska.
Hack Drift jest najwyraźniejszym dowodem słuszności tego ostrzeżenia. Atakujący nigdy nie dotknęli kodu, celowali w dwie osoby posiadające klucze. AI nie musi łamać inteligentnego kontraktu, jeśli może wygenerować wystarczająco przekonujący pretekst, aby oszukać sygnatariusza multisig i skłonić go do zatwierdzenia transakcji, której nie do końca rozumie. Guillemet oczekuje, że branża się podzieli: krytyczne systemy, takie jak portfele i podstawowe protokoły, będą inwestować znacznie w bezpieczeństwo i dostosowywać się, ale znaczna część szerszego ekosystemu oprogramowania może mieć trudności z nadążaniem. Jego zalecane poprawki, formalna weryfikacja przy użyciu dowodów matematycznych, izolacja sprzętowa dla kluczy prywatnych, są strukturalnie solidne, ale wymagają poziomu dyscypliny instytucjonalnej, którego większość protokołów DeFi, w tym Drift, jeszcze nie zbudowała. "Kiedy masz dedykowane urządzenie nienarażone na internet, jest ono bezpieczniejsze z założenia", powiedział. Rada Bezpieczeństwa Drift nie miała takiego bufora. Dwa podpisy, zerowy timelock i fałszywy token to wszystko, czego było potrzeba.
Co Będzie Dalej: Odzyskiwanie Drift i Reakcja Branży
To, co będzie dalej dla Drift Protocol, jest dalekie od jasności, a wczesne sygnały już dzielą branżę. Bezpośrednio po zdarzeniu Anatoly Yakovenko zasugerował potencjalną ścieżkę odzyskiwania: wydanie airdropu tokenów w stylu IOU dla poszkodowanych użytkowników, odzwierciedlając playbook Bitfinex z 2016 roku po jego hacku na 72 miliony dolarów.
Pomysł jest prosty — uspołecznić straty teraz, spłacać użytkowników z czasem, jeśli protokół się odbuduje. Ale kontekst jest bardzo inny. TVL Drift został obcięty niemal o połowę, depozyty i wypłaty pozostają zawieszone, a w przeciwieństwie do Bitfinex brakuje mu scentralizowanego silnika dochodów do zabezpieczenia tych zobowiązań. To doprowadziło do natychmiastowego sprzeciwu: tokeny IOU, w tym przypadku, ryzykują stanie się czysto spekulacyjnymi instrumentami bez wyraźnej ścieżki do wykupu.
Jednocześnie aktywność on-chain budzi nowe obawy. Onchain Lens oznaczył, że portfel powiązany z zespołem Drift przeniósł 56,25 miliona tokenów DRIFT (≈2,44 miliona dolarów) na scentralizowane giełdy, w tym Bybit i Gate, krótko po exploicie, ruch, który zazwyczaj poprzedza presję sprzedażową i podsycił spekulacje na temat pozycjonowania insiderów podczas kryzysu płynności.
Tymczasem środki atakującego zostały już przerzucone między łańcuchami, w szczególności do Ethereum, zmniejszając prawdopodobieństwo znaczącego odzyskania z każdym mijającym dniem. Szersze implikacje są takie, że ten incydent nie zakończy się na Drift. Prawdopodobnie przyspieszy to ogólnobranżową kontrolę samego zarządzania DeFi, od standardów bezpieczeństwa multisig i wymagań timelock po projekt oracle i kontrole wykonania. To, co będzie dalej, zależy od trzech zmiennych: czy Drift może przedstawić wiarygodny plan odzyskiwania, czy można śledzić lub zamrozić jakąkolwiek część środków oraz czy to w końcu wymusi reformę strukturalną, czy stanie się po prostu kolejną drogą lekcją, którą branża pozostawi za sobą.
Jeśli to czytasz, jesteś już do przodu. Pozostań tam z naszym newsletterem.
Źródło: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
