Злом Drift Protocol просліджено до групи, яка стоїть за експлоїтом Bybit - Coinfea

Нещодавній експлойт Drift Protocol пов’язують із північнокорейськими хакерами; можливо, це та сама група, яка експлуатувала Bybit більш ніж на $1.4B. Експлойт торкнувся кількох DeFi-додатків у всій екосистемі Solana. Аналіз Drift Protocol показує, що експлойт, імовірно, був виконаний Lazarus Group із Північної Кореї — тими ж загрозливими суб’єктами, що стоять за кількома іншими атаками.

На основі аналізу DivergSec і звітів Elliptic та TRM Labs з’являється нова інформація про експлойт. Зловмисник не просто скомпрометував multisig Drift Protocol один раз. Drift переказав частину своїх multisig-гаманців новим членам Security Council. Протягом трьох днів атакувальник скомпрометував новий multisig і підготувався за допомогою попередньо підписаних транзакцій 31 березня — за день до атаки.

Інцидент Drift Protocol, пов’язаний із північнокорейськими хакерами

Конкретне використання гаманців вказує на modus operandi Lazarus Group: гаманець спершу був поповнений Tornado Cash, відбулося швидке мультичейн-перекидання на ETH, а потім кошти консолідувалися для змішування. За даними досліджень Elliptic, Lazarus здійснив 18 атак протягом року до сьогодні. Дослідники співпрацюватимуть із командою Drift Protocol, щоб відстежити кошти. Drift Protocol оголосив, що критичну інформацію про залучені сторони було виявлено.

Крім того, команда надіслала повідомлення на чотири визначені гаманці, які наразі тримають отримання від злому. Повідомлення натякало, що Drift Protocol міг знати особу хакерів. Спільнота припускає можливий доступ інсайдера або проникнення в проєкт. Попри це, Drift Protocol усе ще критикували за наявність zero timelock для змін на рівні протоколу, що дозволило експлойтеру негайно вивести ліквідність.

Drift Protocol зберігає $232M у вартості, заблокованій у DeFi, що менше ніж понад $550M. Кількома протоколами, які використовували Drift для отримання доходу, кошти були вкрадені або повністю чи частково заморожені. SOL відновився вище $80 після короткого падіння у відповідь на злом. Злом зачепив Reflect Money для його USD+ farming yield. DeFi Carrot втратив 50% свого TVL у Drift, а також постраждали токени CRT. Ranger Finance було викрито через rUSD. PiggybankFi втратив $106K із депозитів, внесених у Drift Protocol.

Project0 призупинив позики під заставу Drift vaults. Інші проєкти, зокрема Pyra, яка втратила всі свої кошти, та XPlace, яка здебільшого використовувала Drift для отримання доходу. Elemental DeFi було піддано впливу лише через USDC vault. Деякі з протоколів мали свої кошти лише на утриманні доти, доки не буде вдосконалено безпеку. Поки що було уражено 11 проєктів, не враховуючи загальні наслідки для настроїв і втрату довіри до DeFi lending.

Станом на сьогодні у 2026 році було експлойтовано 35 DeFi protocols, і тенденція прискорюється разом із більш організованими атаками. Близько $453M було вилучено з DeFi, що показує, що це й досі сектор із високим ризиком. Експлойти підривають наратив про те, що DeFi є підходящим способом отримувати дохід із мінімальним ризиком.