1 квітня 2026 року децентралізована біржа Drift Protocol в екосистемі Solana зазнала однієї з наймасштабніших атак у DeFi: з платформи було виведено близько 285 млн доларів. Інцидент став показовим, оскільки ключову роль зіграли не вразливості смартконтрактів, а людський фактор, архітектура управління та зловживання довірою до процедур мультипідпису.
Як хакери захопили контроль над Drift Protocol на Solana
Durable nonce та маніпуляція мультипідписом
За даними команди Drift, зловмисник отримав несанкціонований доступ до адміністративних прав протоколу, використавши малодосліджену схему атаки через механізм durable nonce у Solana. Durable nonce дозволяє попередньо підписати транзакції та виконати їх пізніше, не ризикуючи, що підпис стане недійсним через часові обмеження.
Атакуючий домігся того, що низка транзакцій була заздалегідь схвалена й підписана власниками мультипідпису (multisig), але їхнє реальне призначення було замасковане. Коли настали потрібні умови, ці операції були швидко виконані, що призвело до захоплення повноважень Security Council та передання адміністративного контролю над протоколом у руки зловмисника протягом лічених хвилин.
Команда Drift підкреслює, що атака не пов’язана з вразливостями смартконтрактів чи програм Solana і немає ознак компрометації seed-фраз. Критичною ланкою стали «неавторизовані або викривлено представлені схвалення транзакцій», отримані до їх виконання. Це вказує на високий рівень соціальної інженерії та маніпуляцію процедурами мультипідпису.
Фіктивний токен CarbonVote та обхід обмежень через оракули DeFi
Зняття лімітів та створення штучного забезпечення
Отримавши контроль над адміністративними правами, зловмисник зміг змінити протокольні налаштування, зокрема зняти ліміти на виведення коштів та додати до системи новий актив, не передбачений початковою конфігурацією.
За інформацією TRM Labs, хакер розгорнув повністю фіктивний токен CarbonVote Token, забезпечивши його лише кількома тисячами доларів ліквідності та створивши видимість торгів (wash trading). Попри мізерну реальну вартість, оракули Drift інтерпретували цей актив як високоліквідний токен із капіталізацією в сотні мільйонів доларів. Завдяки цьому його використали як переоцінене забезпечення для виведення реальних коштів користувачів.
TRM Labs зауважує, що контракт CarbonVote Token було розгорнуто о 09:30 за часом Пхеньяна, що стало одним із непрямих індикаторів можливого географічного походження операції.
Внутрішня тимчасова шкала Drift свідчить, що підготовка атаки розпочалася не пізніше 23 березня 2026 року. Команда протоколу співпрацює з профільними компаніями у сфері кібербезпеки, кросчейн-мостами, централізованими біржами та правоохоронними органами, щоб відстежити й заблокувати викрадені активи.
Північнокорейський слід: висновки TRM Labs та Elliptic
Аналітики TRM Labs та Elliptic відзначають, що on-chain-поведінка, маршрути виведення й подальше відмивання коштів збігаються з типовими патернами північнокорейських криптогруп, пов’язаних із КНДР (DPRK).
Серед ключових індикаторів: раннє використання міксера Tornado Cash, характерні ланцюжки кросчейн-мостів, висока швидкість і масштаб обналичення. Подібні схеми раніше спостерігались, зокрема, під час крупного взлому Bybit у 2025 році, коли було викрадено близько 1,46 млрд доларів (із загального рекордного обсягу близько 2 млрд доларів за рік).
За оцінками Elliptic, у разі підтвердження участі DPRK інцидент з Drift стане вже вісімнадцятою операцією за рік, пов’язаною з північнокорейськими хакерськими кластерами, а сукупний збиток таких атак у 2026 році вже перевищує 300 млн доларів. Загалом за останні роки, за оцінками аналітиків, DPRK-актори викрали понад 6,5 млрд доларів у криптоактивах.
Соціальна інженерія проти співробітників криптокомпаній
Основним вектором проникнення в інфраструктуру залишається соціальна інженерія: створення переконливих легенд, фальшивих особистостей і «вигідних» вакансій для співробітників криптокомпаній та Web3-проєктів. До таких кампаній відносять DangerousPassword (також відому як CageyChameleon, CryptoMimic, CryptoCore) та Contagious Interview.
Станом на кінець лютого 2026 року сумарний дохід лише цих двох кампаній оцінюється приблизно в 37,5 млн доларів. Експерти Elliptic наголошують, що активність DPRK у сфері криптокрадіжок є «не набором поодиноких інцидентів, а системною, добре профінансованою та масштабованою кампанією», яку влада США безпосередньо пов’язує з фінансуванням ракетно-ядерних програм КНДР.
Ланцюгові атаки та кейс npm Axios: роль групи UNC1069
На тлі атаки на Drift фахівці також звертають увагу на компрометацію ланцюга постачання популярного npm-пакета Axios. Ряд вендорів (Google, Microsoft, CrowdStrike, Sophos) пов’язують цю операцію з північнокорейською групою UNC1069, яка перетинається з відомими кластерами BlueNoroff, CryptoCore, Nickel Gladstone, Sapphire Sleet і Stardust Chollima.
Sophos повідомляє, що артефакти атак на Axios містять ідентичні форензичні мітки та схожі ланцюжки командно-контрольної інфраструктури (C2), а також зв’язок із шкідливим ПЗ, яке раніше асоціювалося виключно з групою Nickel Gladstone. Це посилює версію про єдину державою спонсоровану кампанію, спрямовану на генерування доходів для режиму КНДР.
Історія з Drift Protocol чітко демонструє: для DeFi-проєктів критичною є не лише безпека смартконтрактів, а й надійність процесів управління — мультипідписів, рад безпеки, процедур надання прав та роботи з оракулами. Зменшити ризики допомагають жорсткі політики для multisig (окремі пристрої й ізольовані середовища для підписантів), відмова від нульових timelock’ів, незалежний моніторинг аномалій у даних оракулів і регулярна валідація будь-яких змін адміністраторських прав.
В умовах зростання активності державою спонсорованих груп і використання ШІ для вдосконалення атак кожен розробник, контриб’ютор і власник ключів до інфраструктури стає пріоритетною ціллю. Криптокомпаніям варто інвестувати в навчання співробітників методам протидії соціальній інженерії, впроваджувати принцип найменших привілеїв, сегментацію доступу та постійний моніторинг аномальної поведінки. Саме поєднання технічної й організаційної кібергігієни сьогодні є головною умовою того, що наступна масштабна атака обійде вашу інфраструктуру стороною.
