Крипто-катастрофа: хакери КНДР спустошили гаманці Drift Protocol на $280 млн

Криптосвіт сколихнув один із найзухваліших зламів року. Drift Protocol — найбільша децентралізована біржа безстрокових ф’ючерсів на блокчейні Solana — стала жертвою атаки, яку пов’язують з хакерами КНДР.

Загальна сума збитків оцінюється у $280 мільйонів. Це робить пограбування Drift найбільшим у секторі DeFi за 2026 рік та другим за всю історію інцидентом безпеки в екосистемі Solana після експлойту мосту Wormhole ($326 млн) у 2022 році.

За даними компанії PeckShield, попередньою причиною зламу є компрометація закритих ключів адміністратора протоколу. Це надало зловмиснику або групі хакерів привілейований доступ для виведення коштів та зміни адміністративного контролю.

Згідно зі звітом Drift Protocol, пограбування було підготовлено між 23 і 30 березня, хакер створив стійкі одноразові облікові записи та отримав 2/5 багатопідписних схвалень від членів Security Council для досягнення необхідного порогу. 

Отримавши права адміністратора, хакер оновив смарт-контракт таким чином, щоб він дозволив масове виведення ліквідності на підконтрольні йому адреси.

Замість тривалого періоду очікування (timelock), передбаченого для змін у протоколі, зловмисник використав «екстрені» повноваження, щоб миттєво виконати шкідливі транзакції.

Хакер атакував три основні сховища: сховища JLP Delta Neutral, SOL Super Staking та BTC Super Staking. Найбільший окремий переказ коштів становив приблизно 41,7 мільйона токенів JLP вартістю приблизно $155 мільйонів на момент крадіжки. Серед інших викрадених активів були USDC, SOL, cbBTC, wBTC та інші активи.

Після спустошення сховищ кіберзлочинець використовував агрегатор DEX на базі Solana, щоб швидко обміняти викрадені токени на USDC. Потім ці кошти були переведені в блокчейн Ethereum та обмінені на 129 000 ETH.

Команда Drift підтвердила інцидент на своєму акаунті X, заявивши, що Drift Protocol зазнав «активної атаки», а депозити та виведення коштів були призупинені. 

Куди пішли гроші?

Експерти зафіксували швидке переміщення активів. Одразу після виведення $280 млн, кошти почали розподілятися між десятками нових гаманців. Для приховування слідів хакери традиційно використовують:

• Крипто-міксери (такі як Tornado Cash та аналоги).
• Крос-чейн мости для переведення коштів у різні мережі.
• Обмінні сервіси з низьким рівнем KYC.

Чому це важливо для індустрії?

Інцидент підкреслює критичну проблему «централізації в децентралізації». Наявність у протоколі «Ради безпеки» з надмірними повноваженнями створює єдину точку відмови. Якщо хакери отримують доступ до ключів кількох людей — вони отримують контроль над усіма грошима користувачів.

Атака на Drift Protocol стала ще одним підтвердженням того, що північнокорейські хакери продовжують відточувати свою майстерність у сфері Web3. Для проектів DeFi це сигнал до перегляду моделей управління: безпека ключів адміністраторів має бути такою ж пріоритетною, як і аудит самого коду.

Вважається, що пов’язані з КНДР кіберзлочинці за останні роки викрали криптоактивів на суму понад $6,5 мільярда.

Нагадаємо, що північнокорейська група Lazarus Group змінила свою тактику. Тепер хакери здебільшого націлені на програмістів, які володіють криптовалютою.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn