#DriftProtocolHacked

Мільйонна державна розвідувальна операція, замаскована під криптоконференцію та рукопотиск. Індустрія досі шокована однією з найскладніших атак у сфері DeFi, коли-небудь зафіксованих.

Масштаби порушення

Drift Protocol, найбільша біржа перпетуальних ф’ючерсів на Solana, була знята приблизно на **$285 мільйонів 1 квітня 2026 року**. Атака не була вразливістю смарт-контракту або викраденим ключем, а результатом **шестимісячної операції соціальної інженерії**, організованої **UNC4736 $285 Citrine Sleet/AppleJeus(**, державної групи, пов’язаної з Північною Кореєю. Chainalysis заявила, що якщо це підтвердиться, то криптовикрадення, пов’язані з Північною Кореєю, загалом сягнуть щонайменше $10.58 трлн у всьому світі. Масштаб операції вражає: група створила фальшиву ідентичність квантової торгової компанії, внесла понад )мільйонів власного реального капіталу і особисто зустрічалася з учасниками Drift на конференціях у кількох країнах перед ударом.

---

Анатомія державної атаки

Зловмисники почали свою операцію восени 2025 року на великій криптоконференції, де вони видавали себе за представників квантової торгової фірми. Наступні місяці були присвячені ретельній, терплячій кампанії з формування довіри, що тривала приблизно півроку.

· Етап проникнення: до грудня 2025 року та січня 2026 року група зареєструвала Ecosystem Vault на Drift, подала стратегічну документацію, брала участь у кількох робочих сесіях з учасниками та внесла понад $1 мільйонів власного капіталу. Drift описав цю поведінку як цілком відповідну тому, як легітимні торгові фірми зазвичай інтегруються з протоколом.
· Людський рівень: протягом лютого та березня 2026 року учасники Drift зустрічалися з членами групи особисто на кількох великих галузевих конференціях у різних країнах. До моменту запуску атаки ці особи вже були не чужими, а встановленими партнерами з майже шестимісячним досвідом співпраці.
· Технічні вектори: після встановлення довіри група застосувала двовекторну атаку: один з них включав зловмисний додаток TestFlight $1 платформи розповсюдження додатків Apple, що обходить перевірку в App Store(, який видавав себе за їхній гаманець; інший використовував відому вразливість у VSCode і Cursor, де просто відкриття файлу або папки було достатнім для безшумного виконання довільного коду без попереджень або запитів.

---

Виконання: функція Solana, що стала зброєю

Зловмисники зловживали легітимною функцією Solana під назвою "стійкі нексони", яка дозволяє попередньо підписувати транзакції та зберігати їх дійсними безстроково. Обманувши двох із п’яти підписантів мульти-сигу Security Council Drift, вони отримали попередньо підписані дозволи, які пролежали неактивними понад тиждень. 1 квітня вони виконали ці попередньо підписані транзакції, отримавши адміністративні повноваження протоколу менш ніж за хвилину.

---

Наслідки: падіння ринку та реакція спільноти

Негайний вплив був руйнівним:

· Зниження TVL: загальна заблокована вартість Drift знизилася з приблизно )мільйонів до менш ніж $550 мільйонів за один ранок, що становить понад 53% зниження.
· Обвал токена: токен DRIFT знизився аж на 45% за кілька годин, опустившись близько до $0.04–$0.05.
· Вплив на широку екосистему: щонайменше 20 інших проектів із залученням до ліквідності або стратегій Drift припинили операції або оцінили збитки.
· Circle під ударом: внутрішній слідч ZachXBT звинуватив Circle у неспроможності заморозити викрадені USDC під час атаки, оскільки зловмисник використав Cross-Chain Transfer Protocol $250 CCTP( Circle для переказу приблизно )мільйонів USDC з Solana до Ethereum без втручання.

---

Юридичні та безпекові наслідки

Адвокат у сфері криптовалют Аріель Гівнер заявив, що інцидент може становити "цивільну недбалість", оскільки команда Drift не дотримувалася основних процедур безпеки — зокрема, зберігання ключів підпису на окремих ізольованих системах і проведення належної перевірки розробників, з якими зустрічалися на галузевих конференціях. Уже поширюються оголошення про потенційні колективні позови проти Drift Protocol. У відповідь Фонд Solana і Asymmetric Research запустили програму безпеки STRIDE 6 квітня 2026 року, яка забезпечує формальну верифікацію та моніторинг загроз для протоколів DeFi на Solana.

---

Новий етап загроз у сфері DeFi

Ця атака є суттєвим ескалаційним кроком у ландшафті загроз. Це не був вразливий код — це була структурована розвідувальна операція, яка потребувала організаційної підтримки, значних ресурсів і місяців цілеспрямованої підготовки. Зловмисники не просто створювали фальшиві профілі в LinkedIn; вони розгортали посередників із повністю сконструйованими ідентичностями, перевіреними історіями працевлаштування та професійними мережами, здатними витримати справжню перевірку. Як зазначив один із дослідників безпеки: "Якщо зловмисники діють як реальна організація протягом шести місяців, інвестують кошти і беруть участь у екосистемі, їх практично неможливо виявити за допомогою існуючих систем безпеки".

$232 #DeFiHack #NorthKoreaCrypto #DriftProtocol