Cel mai mare hack DeFi din acest an a avut loc săptămâna trecută, pe 1 aprilie, când Drift Protocol, una dintre cele mai mari burse DEX perpetue de pe rețeaua Solana, a suferit o exploatare care a văzut aproximativ 286 milioane de dolari dispărând din protocol. Atacul a fost legat de hackeri cu legături nord-coreene și întregul hack s-a petrecut în doar 10 secunde. Ceea ce este uluitor la acest hack însă a fost natura sa meticuloasă. Niciun cod nu a fost spart și niciun contract inteligent nu a avut un bug. Investigațiile din partea firmelor de criminalistică crypto precum Elliptic și TRM Labs indică de fapt un hack mult mai calculat.
Atacatorii nord-coreeni au petrecut trei săptămâni fabricând un token fals numit CarbonVote, alimentându-l cu câteva mii de dolari pentru a-l face să pară real, în timp ce, în același timp, au manipulat prin inginerie socială doi dintre cei cinci semnatari ai Consiliului de Securitate multisig al Drift pentru a pre-semna autorizații ascunse pe care nu le-au înțeles pe deplin. În urma acestui lucru, ei au folosit apoi o funcție Solana numită "durable nonces" pentru a păstra acele semnături în rezervă timp de peste o săptămână, așteptând momentul potrivit. A fost nevoie de o singură tranzacție pe 1 aprilie.
Așa cum a remarcat Elliptic, acest atac a fost al 18-lea hack crypto legat de Coreea de Nord doar în acest an, scoțând aproximativ 300 de milioane de dolari din spațiu. La patru zile după hack, CTO-ul Ledger a declarat public natura alarmantă a hackului și că AI reduce costul atacurilor ca aceasta "la zero". Această declarație contează foarte mult deoarece hackul Drift este un studiu de caz privind modul în care funcționează aceste operațiuni acum. Atacatorii nu au avut nevoie de o vulnerabilitate zero-day sau de un criptograf de top. Tot ce le-a trebuit a fost răbdare, un token fals convingător și doi oameni pe care îi puteau manipula. Hackul a expus de fapt vulnerabilitatea structurală în DeFi așa cum este astăzi. DeFi construiește infrastructură de miliarde de dolari securizată de grupuri mici de oameni care pot fi înșelați, în timp ce adversarii devin din ce în ce mai buni la a face exact asta.
Cum a furat Coreea de Nord 286 milioane de dolari în 10 secunde
Hackul protocolului Drift a fost o exploatare sofisticată care s-a întins pe trei săptămâni de pregătire. Bloomberg a raportat prima dată breșa pe 1 aprilie, când protocolul Drift a confirmat că aproximativ 286 de milioane de dolari în active ale utilizatorilor au fost extrase. Întreaga schemă a început de fapt încă de pe 11 martie, când atacatorul a retras 10 ETH din Tornado Cash în jurul orei 9 AM, ora Phenianului, și l-a folosit pentru a implementa tokenul fals, CarbonVote (CVT), un activ complet fictiv alimentat cu câteva mii de dolari în lichiditate și menținut în viață prin tranzacționare circulară.
Pe parcursul următoarelor două săptămâni, între 23 și 30 martie, atacatorul a deschis conturi durable nonce, o funcție legitimă pe rețeaua Solana care permite ca tranzacțiile să fie pre-semnate și păstrate pe termen nelimitat fără a expira. În această perioadă, atacatorul i-a manipulat prin inginerie socială pe doi dintre cei cinci semnatari multisig ai Consiliului de Securitate al Drift să aprobe tranzacții care păreau normale dar, după cum a confirmat mai târziu TRM Labs, purtau autorizații ascunse pentru control administrativ critic.
Ultima piesă a căzut pe 27 martie, când Drift și-a migrat Consiliul de Securitate către o nouă configurație cu prag de 2/5 cu timelock zero, așa cum a raportat BlockSec, ceea ce a eliminat practic singura întârziere care ar fi permis oricui să prindă ce urma să vină. Până când a venit 1 aprilie, capcana fusese complet încărcată de zile întregi.
Pe 1 aprilie, atacatorul a folosit acele aprobări pre-semnate pentru a lista CarbonVote ca garanție validă, și-a umflat valoarea în sute de milioane prin prețuri oracle manipulate și guvernanța a fost preluată. De acolo, 31 de tranzacții de retragere au golit seifurile Drift în câteva secunde. Cea mai mare bucată singură a inclus peste 155 de milioane de dolari în tokeni JLP alături de zeci de milioane în USDC, SOL, ETH și alte tokeni de staking lichid fiind drenați și Total Value Locked pe protocol s-a prăbușit instantaneu de la aproximativ 550 de milioane de dolari la sub 250 de milioane de dolari.
Această viteză a hackului este doar o parte a acestei povești. Un plan detaliat care a durat până la trei săptămâni și care s-a încheiat cu un hack de 10 secunde a arătat cât de ușor guvernanța, nu codul, poate deveni veriga cea mai slabă în DeFi.
Războiul Crypto de 300 de milioane de dolari al Coreei de Nord în 2026
Acest hack, raportat ca fiind perpetrat de atacatori cu legături nord-coreene, nu este în niciun caz un eveniment izolat. De fapt, dacă vă uitați la unele dintre cele mai importante hackuri din ultimii ani, devine evident că aceasta face parte dintr-o campanie mult mai amplă, condusă de stat. Doar în acest an, Elliptic a raportat că exploatarea Drift îl face al 18-lea furt crypto atribuit RDPC, împingând suma totală a fondurilor sifonate peste 300 de milioane de dolari până acum în acest an. Dacă priviți dincolo de acest an, amploarea unor astfel de hackuri dintr-o singură țară devine foarte greu de ignorat. Anul trecut, actorii legați de Coreea de Nord au furat între 1,92 miliarde de dolari conform TRM Labs, în timp ce Chainalysis stabilește această cifră la 2,02 miliarde de dolari în crypto. Aceasta a marcat o creștere de 51% de la an la an în hackurile efectuate de acest grup și a împins jafurile lor totale la 6,75 miliarde de dolari.
Coreea de Nord a reprezentat un record de 76% din toate compromiterile serviciilor în 2025, ceea ce înseamnă că o singură țară este responsabilă pentru majoritatea copleșitoare a furturilor care au loc în industrie. În acest context, hackul Drift, care este acum a doua cea mai mare exploatare din ecosistemul Solana după breșa Wormhole din 2022, se încadrează într-un model de atacuri.
Ceea ce definește acel model este consistența. Hackul Bybit din februarie 2025, cel mai mare furt crypto din istorie, a avut configurații aproape identice care au inclus inginerie socială, acces compromis și schimb coordonat de fonduri. TRM Labs notează că operatorii RDPC se bazează din ce în ce mai mult pe rețele de "spălătorie chineză" pentru fonduri care sunt transferate între diferite lanțuri în câteva ore.
Atacul Drift arată de fapt un sistem de echipe susținute de stat care desfășoară operațiuni de mai multe săptămâni cu recunoaștere, manipulare umană și infrastructură de spălare globală deja în vigoare.
AI reduce costurile atacurilor "la zero": avertizează CTO-ul Ledger
La patru zile după drenarea Drift, CTO-ul Ledger, Charles Guillemet, i-a spus CoinDesk ceva care a recadrat întregul incident. "Găsirea vulnerabilităților și exploatarea lor devine cu adevărat, cu adevărat ușoară", a spus el. "Costul scade la zero." Guillemet nu a numit Drift, dar a descris mecanica sa exactă. AI nu ajută doar atacatorii să găsească bug-uri de cod mai rapid, face ingineria socială mai convingătoare, phishing-ul mai personalizat și munca de pregătire pe care operatorii nord-coreeni au petrecut-o trei săptămâni făcând-o pe Drift mai ieftină și mai scalabilă cu un ordin de magnitudine. El a indicat și o problemă compusă pe partea defensivă: pe măsură ce mai mulți dezvoltatori se bazează pe cod generat de AI, vulnerabilitățile ar putea să se răspândească mai repede decât pot recenzorii umani să le prindă. "Nu există un buton 'fă-l securizat'", a spus el. "Vom produce o mulțime de cod care va fi nesigur prin design." Hackurile și exploatările au cauzat 1,4 miliarde de dolari în pierderi crypto în ultimul an, iar proiecția lui Guillemet este că curba devine mai abruptă, nu mai plată.
Hackul Drift este cea mai clară dovadă de concept pentru acea avertizare. Atacatorii nu au atins niciodată codul, au vizat cei doi oameni care dețin cheile. AI nu trebuie să spargă un contract inteligent dacă poate genera un pretext suficient de convingător pentru a păcăli un semnatar multisig să aprobe o tranzacție pe care nu o înțelege pe deplin. Guillemet se așteaptă ca industria să se dividă: sisteme critice precum portofelele și protocoalele de bază vor investi puternic în securitate și se vor adapta, dar mare parte din ecosistemul software mai larg poate avea dificultăți să țină pasul. Remedierile sale recomandate, verificarea formală folosind dovezi matematice, izolarea hardware pentru chei private, sunt solide structural, dar necesită un nivel de disciplină instituțională pe care majoritatea protocoalelor DeFi, inclusiv Drift, nu l-au construit încă. "Când ai un dispozitiv dedicat neexpus la internet, este mai sigur prin design", a spus el. Consiliul de Securitate Drift nu avea un astfel de tampon. Două semnături, timelock zero și un token fals au fost tot ce a fost nevoie.
Ce se întâmplă în continuare: Recuperarea Drift și răspunsul industriei
Ce se întâmplă în continuare pentru Drift Protocol este departe de a fi clar și semnalele timpurii divizează deja industria. În urma imediată, Anatoly Yakovenko a sugerat o cale potențială de recuperare: emiterea unui airdrop de tokeni în stil IOU către utilizatorii afectați, oglindind strategia Bitfinex din 2016 după hackul său de 72 de milioane de dolari.
Ideea este simplă - socializează pierderile acum, rambursează utilizatorii în timp dacă protocolul se recuperează. Dar contextul este foarte diferit. TVL-ul Drift a fost redus aproape la jumătate, depozitele și retragerile rămân suspendate și, spre deosebire de Bitfinex, îi lipsește un motor de venituri centralizat pentru a susține acele pasive. Aceasta a dus la o respingere imediată: tokenii IOU, în acest caz, riscă să devină instrumente pur speculative fără o cale clară de răscumpărare.
În același timp, activitatea on-chain ridică noi îngrijorări. Onchain Lens a semnalat că un portofel legat de echipa Drift a mutat 56,25 milioane de tokeni DRIFT (≈2,44 milioane de dolari) către burse centralizate, inclusiv Bybit și Gate, la scurt timp după exploatare, o mișcare care precede de obicei presiunea de vânzare și a alimentat speculațiile despre poziționarea insider în timpul unei crize de lichiditate.
Între timp, fondurile atacatorului au fost deja transferate între lanțuri, în special către Ethereum, reducând probabilitatea unei recuperări semnificative cu fiecare zi care trece. Implicația mai largă este că acest incident nu se va termina cu Drift. Este probabil să accelereze scrutinul la nivelul întregii industrii în jurul guvernanței DeFi însăși, de la standardele de securitate multisig și cerințele timelock la designul oracle și controalele de execuție. Ceea ce vine în continuare depinde de trei variabile: dacă Drift poate prezenta un plan de recuperare credibil, dacă orice porțiune de fonduri poate fi urmărită sau înghețată și dacă acest lucru forțează în cele din urmă reforma structurală sau devine doar o altă lecție costisitoare pe lângă care industria trece.
Dacă citiți asta, sunteți deja în față. Rămâneți acolo cu newsletter-ul nostru.
Sursă: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
