Взлом Drift Protocol прослежен до группы, стоящей за эксплойтом на Bybit - Coinfea

Недавний взлом Drift Protocol связывают с хакерами из Северной Кореи, возможно, той же группой, которая атаковала Bybit и похитила более $1.4B. Взлом затронул несколько DeFi-приложений в экосистеме Solana. Анализ Drift Protocol показывает, что взлом, возможно, был выполнен группой Lazarus из Северной Кореи — теми же злоумышленниками, стоящими за несколькими другими атаками.

На основе анализа DivergSec и сообщений Elliptic и TRM Labs появляются новые данные о взломе. Нападавший не просто однажды скомпрометировал multisig Drift Protocol. Drift перенесла часть своих multisig-кошельков на новых членов Security Council. В течение трех дней нападавший скомпрометировал новый multisig и заранее подготовил транзакции с предподписанием 31 марта — за день до атаки.

Инцидент с Drift Protocol, связанный с хакерами из Северной Кореи

Конкретное использование кошельков указывает на modus operandi группы Lazarus: кошелек сначала был пополнен Tornado Cash, затем произошло быстрое многоцепочечное мостиование на ETH и консолидация средств для смешивания. Согласно исследованиям Elliptic, Lazarus выполнила 18 атак за текущий год на сегодняшний день. Исследователи будут сотрудничать с командой Drift Protocol, чтобы отслеживать средства. Drift Protocol объявил, что обнаружена критически важная информация о вовлеченных сторонах.

Кроме того, команда направила сообщения на четыре идентифицированных кошелька, которые в настоящее время удерживают выручку от взлома. В сообщении предполагалось, что Drift Protocol мог знать личность хакеров. Сообщество обсуждает возможный доступ инсайдеров или проникновение в проект. Несмотря на это, Drift Protocol все равно подвергался критике за наличие нулевого timelock для изменений на уровне протокола, что позволяло эксплойтеру сразу слить ликвидность.

Drift Protocol сохраняет $232M в стоимости, заблокированной в протоколе, что меньше более чем $550M. Несколько протоколов, которые использовали Drift для получения доходности, лишились средств или их средства были украдены и/или заморожены полностью либо частично. SOL восстановился выше $80 после краткого проседания в ответ на взлом. Взлом затронул Reflect Money из-за его доходности от farming USD+. DeFi Carrot потерял 50% своего TVL в Drift, а также пострадали токены CRT. Ranger Finance был раскрыт через rUSD. PiggybankFi потерял $106K из депозитов, внесенных в Drift Protocol.

Project0 приостановил выдачу займов под залог в Drift vaults. Другие проекты, включая Pyra, которая потеряла все свои средства, и XPlace, который в основном использовал Drift для получения доходности. Elemental DeFi было затронуто только через USDC vault. Некоторые из протоколов просто держали свои средства до тех пор, пока безопасность не будет улучшена. По состоянию на данный момент затронуты 11 проектов, не считая общих последствий в виде реакции общественности и потери доверия к DeFi-кредитованию.

По состоянию на текущую дату в 2026 году всего было эксплуатировано 35 DeFi-протоколов, при этом наблюдается ускоряющаяся тенденция и более организованные атаки. Около $453M было извлечено из DeFi, что показывает: это все еще сектор с высоким риском. Взломы подрывают тезис о том, что DeFi является подходящим способом получать доходность при минимальном риске.