Protokół Drift opublikował w sobotę swój najbardziej szczegółowy dotąd raport dotyczący eksploitu z 1 kwietnia, który doprowadził do wyprowadzenia około 280 milionów dolarów z giełdy kontraktów wieczystych opartej na Solanie, opisując to, co zespół nazwał „operacją wywiadowczą o złożonej strukturze”, której przygotowanie zajęło około sześciu miesięcy.
Zgodnie z aktualizacją, początkowy kontakt nastąpił w okolicach jesieni 2025 roku, kiedy osoby podające się za firmę handlu ilościowego (quant trading firm) nawiązały kontakt z współpracownikami Drift na dużej konferencji kryptowalutowej i wyraziły zainteresowanie integracją z protokołem. Na tym pierwszym spotkaniu utworzono grupę na Telegramie, a te same osoby kontynuowały spotkania twarzą w twarz z współpracownikami Drift na wydarzeniach branżowych w wielu krajach przez kolejne miesiące.
Między grudniem 2025 a styczniem 2026 roku, grupa uruchomiła Ecosystem Vault na platformie Drift, wypełniając standardowy formularz strategii, uczestnicząc w wielu sesjach roboczych z współpracownikami i wpłacając ponad milion dolarów własnego kapitału. Drift stwierdził, że zachowanie to było zgodne z tym, jak legalne firmy handlowe zazwyczaj integrują się z protokołem.
Analiza kryminalistyczna zainfekowanych urządzeń i historii komunikacji po ataku wskazała na tę relację jako prawdopodobną ścieżkę intruzji. Drift stwierdził, że czaty grupy na Telegramie i powiązane z nimi złośliwe oprogramowanie zostały usunięte w momencie rozpoczęcia ataku.
Wstępna ocena Drift identyfikuje dwie potencjalne metody kompromitacji. Jeden współpracownik mógł zostać zainfekowany po sklonowaniu repozytorium kodu udostępnionego przez grupę pod pretekstem wdrożenia interfejsu użytkownika dla ich skarbca. Drugiego współpracownika nakłoniono do zainstalowania beta wersji aplikacji za pośrednictwem Apple TestFlight, którą grupa opisała jako swój produkt portfelowy.
W przypadku ścieżki repozytorium, Drift zwrócił uwagę na lukę w VS Code i Cursor, o której badacze bezpieczeństwa publicznie ostrzegali między grudniem 2025 a lutym 2026 roku, polegającą na tym, że samo otwarcie pliku, folderu lub repozytorium w edytorze mogło cicho wykonać dowolny kod bez monitu użytkownika.
Sam exploit, jak wcześniej informował The Block, nie wiązał się z błędem w smart kontrakcie. Drift opisał go jako „nowatorski atak wykorzystujący trwałe nonce”, legalną prymitywną funkcję Solany, która umożliwia wstępne podpisywanie transakcji i ich późniejsze wykonanie. Atakujący uzyskał zgody multisig z wyprzedzeniem, prawdopodobnie poprzez inżynierię społeczną lub błędne przedstawienie transakcji, a następnie wykorzystał te wstępnie podpisane autoryzacje do przejęcia uprawnień administracyjnych Rady Bezpieczeństwa i opróżnienia protokołu w ciągu kilku minut.
Drift oświadczył, że przy wsparciu zespołu SEAL 911, ocenia z „średnio wysoką pewnością”, iż operacja została przeprowadzona przez tych samych sponsorowanych przez państwo aktorów z Korei Północnej, odpowiedzialnych za kradzież 50 milionów dolarów z Radiant Capital w październiku 2024 roku, którą Mandiant przypisał UNC4736, znanemu również jako AppleJeus lub Citrine Sleet, grupie hakerów powiązanej z Biurem Rozpoznawczym Korei Północnej.
Według Drift, związek opiera się zarówno na nakładających się działaniach onchain, jak i operacyjnych. Przepływy funduszy wykorzystane do zorganizowania i przetestowania operacji Drift wywodzą się od atakujących Radiant, a tożsamości użyte w całej kampanii mają identyfikowalne podobieństwa ze znaną aktywnością związaną z KRLD, powiedział Drift.
Co ważne, Drift podkreślił, że osoby, które osobiście pojawiły się na konferencjach, nie były obywatelami Korei Północnej. Aktorzy zagrożeń z KRLD działający na tym poziomie są znani z wykorzystywania pośredników do budowania relacji, jak podał protokół, a profile użyte w tej operacji posiadały pełne historie zatrudnienia, publiczne referencje i sieci zawodowe zaprojektowane tak, aby wytrzymać należytą staranność kontrahentów.
Mandiant, którego Drift zatrudnił do prowadzenia śledztwa kryminalistycznego, nie przypisał formalnie eksploitu Drift. Decyzja ta jest w toku, oczekując na zakończenie analizy kryminalistycznej urządzeń.
Drift poinformował, że wszystkie pozostałe funkcje protokołu zostały zamrożone, skompromitowane portfele zostały usunięte z multisig, a adresy atakującego zostały oznaczone u giełd i operatorów mostów. Detektyw onchain ZachXBT osobno skrytykował emitenta stablecoinów Circle za to, co nazwał powolną reakcją, zarzucając, że atakujący przekazał około 232 miliony USDC z Solany do Ethereum za pośrednictwem CCTP w ciągu sześciu godzin, bez zamrożenia jakichkolwiek środków.
Exploit Drift jest największym jak dotąd atakiem DeFi w 2026 roku i plasuje się jako drugi największy incydent bezpieczeństwa w historii Solany, po ataku na most Wormhole o wartości 325 milionów dolarów w 2022 roku.
Drift podziękował niezależnym badaczom oraz członkom SEAL 911: Taylorowi Monahanowi, tanuki42_, pcaversaccio i Nickowi Baxowi za ich pracę w identyfikacji sprawców, i zaapelował do wszystkich zespołów, które uważają, że mogły być celem tej samej grupy, o bezpośredni kontakt z SEAL 911.
„Naprawdę – to najbardziej skomplikowany i ukierunkowany atak, jaki, jak sądzę, został przeprowadzony przez KRLD w przestrzeni krypto”, napisał tanuki42_ na X, ostrzegając dodatkowo, że inne protokoły również mogły być celem. „Rekrutowanie wielu pośredników, a następnie nakłanianie ich do atakowania konkretnych osób w prawdziwym życiu na dużych wydarzeniach kryptowalutowych to szalona taktyka.”
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, analizy i dane. Od listopada 2023 roku Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy w przestrzeni kryptowalut. Giełda kryptowalut Bitget jest głównym LP dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywne, wpływowe i aktualne informacje o branży kryptowalut. Oto nasze aktualne oświadczenia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Artykuł ten ma wyłącznie charakter informacyjny. Nie stanowi ani nie jest przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
