Drift Protocol a publicat sâmbătă cel mai detaliat raport de până acum despre exploit-ul din 1 aprilie care a golit aproximativ 280 de milioane de dolari din bursa de contracte perpetue bazată pe Solana, descriind ceea ce echipa a numit o "operațiune de inteligență structurată" care a durat aproximativ șase luni pentru a fi pusă în scenă.
Conform actualizării, contactul inițial a avut loc în sau în jurul toamnei anului 2025, când persoane care se prezentau ca o firmă de tranzacționare cantitativă au abordat contribuitorii Drift la o conferință majoră de cripto și și-au exprimat interesul de a se integra în protocol. Un grup Telegram a fost înființat la acea primă întâlnire, iar aceleași persoane au continuat să se întâlnească față în față cu contribuitorii Drift la evenimente din industrie din mai multe țări pe parcursul lunilor următoare.
Între decembrie 2025 și ianuarie 2026, grupul a integrat un Ecosystem Vault pe Drift, completând formularul standard de strategie, participând la multiple sesiuni de lucru cu contribuitorii și depunând peste 1 milion de dolari din propriul lor capital. Drift a declarat că acest comportament a fost în concordanță cu modul în care firmele de tranzacționare legitime se integrează de obicei cu protocolul.
Revizuirea medico-legală a dispozitivelor afectate și a istoricului comunicațiilor după exploit a indicat acea relație ca fiind calea probabilă de intruziune. Drift a declarat că discuțiile de pe Telegram ale grupului și software-ul rău intenționat asociat au fost șterse în momentele în care atacul a devenit activ.
Evaluarea preliminară a Drift identifică două metode posibile de compromitere. Un contribuitor ar fi putut fi infectat după clonarea unui depozit de cod pe care grupul l-a partajat sub pretextul implementării unui frontend pentru vault-ul lor. Un al doilea contribuitor a fost indus să instaleze o versiune beta a unei aplicații prin intermediul unei versiuni Apple TestFlight pe care grupul a descris-o ca fiind produsul lor de portofel.
Pentru calea depozitului, Drift a semnalat o vulnerabilitate VS Code și Cursor despre care cercetătorii în securitate au avertizat public între decembrie 2025 și februarie 2026, în care simpla deschidere a unui fișier, folder sau depozit în editor ar putea executa în mod silențios cod arbitrar fără nicio solicitare de la utilizator.
Exploit-ul în sine, așa cum a raportat anterior The Block, nu a implicat o eroare a contractului inteligent. Drift l-a descris ca fiind un "atac inedit care implică nonce-uri durabile", o primitivă legitimă Solana care permite tranzacțiilor să fie pre-semnate și executate ulterior. Atacatorul a obținut aprobări multisig în avans, probabil prin inginerie socială sau reprezentare eronată a tranzacției, apoi a folosit autorizațiile pre-semnate pentru a prelua puterile administrative ale Consiliului de Securitate și a goli protocolul în câteva minute.
Drift a declarat că, cu sprijinul echipei SEAL 911, estimează cu o "încredere medie-ridicată" că operațiunea a fost efectuată de aceiași actori nord-coreeni sponsorizați de stat, responsabili pentru hack-ul Radiant Capital de 50 de milioane de dolari din octombrie 2024, pe care Mandiant l-a atribuit grupului UNC4736, cunoscut și sub numele de AppleJeus sau Citrine Sleet, un grup de hackeri cu legături cu Biroul General de Recunoaștere al țării.
Legătura se bazează atât pe suprapuneri on-chain, cât și operaționale, conform Drift. Fluxurile de fonduri utilizate pentru a pune în scenă și a testa operațiunea Drift duc înapoi la atacatorii Radiant, iar persoanele deployed în cadrul campaniei au suprapuneri identificabile cu activități cunoscute legate de RPDC, a declarat Drift.
În mod remarcabil, Drift a subliniat că persoanele care au apărut la conferințe în persoană nu erau cetățeni nord-coreeni. Actorii de amenințare din RPDC care operează la acest nivel sunt cunoscuți pentru a desfășura intermediari terți pentru a gestiona activitatea de construire a relațiilor, a declarat protocolul, iar profilurile utilizate în această operațiune aveau istorii complete de angajare, acreditări publice și rețele profesionale concepute pentru a rezista unei verificări amănunțite a contrapartidei (due diligence).
Mandiant, pe care Drift a angajat-o să conducă investigația medico-legală, nu a atribuit oficial exploit-ul Drift. Această determinare este în așteptarea finalizării analizei medico-legale a dispozitivelor.
Drift a declarat că toate funcțiile rămase ale protocolului au fost înghețate, portofelele compromise au fost eliminate din multisig, iar adresele atacatorului au fost semnalate către exchange-uri și operatorii de bridge. Investigatorul on-chain ZachXBT a criticat separat emitentul de stablecoin Circle pentru ceea ce el a numit un răspuns lent, susținând că atacatorul a transferat aproximativ 232 de milioane de USDC de la Solana la Ethereum prin CCTP pe parcursul a șase ore, fără ca fondurile să fie înghețate.
Exploit-ul Drift este cel mai mare hack DeFi din 2026 până în prezent și se clasează ca al doilea cel mai mare incident de securitate din istoria Solana, după atacul asupra bridge-ului Wormhole de 325 de milioane de dolari din 2022.
Drift a creditat cercetătorii independenți și membrii SEAL 911 Taylor Monahan, tanuki42_, pcaversaccio și Nick Bax pentru munca lor de identificare a actorilor și a îndemnat orice echipă care crede că ar fi putut fi țintită de același grup să contacteze direct SEAL 911.
"Sincer vorbind – acesta este cel mai elaborat și mai țintit atac pe care cred că l-am văzut comis de RPDC în spațiul cripto", a scris tanuki42_ pe X, pe lângă avertismentul că și alte protocoale ar fi putut fi vizate. "Recrutarea mai multor facilitatori și apoi convingerea acestora să țintească anumite persoane în viața reală la evenimente cripto majore este o tactică sălbatică."
Disclaimer: The Block este o publicație media independentă care oferă știri, cercetări și date. Începând cu noiembrie 2023, Foresight Ventures este investitor majoritar al The Block. Foresight Ventures investește în alte companii din spațiul cripto. Bursa de criptomonede Bitget este un LP ancoră pentru Foresight Ventures. The Block continuă să opereze independent pentru a oferi informații obiective, relevante și la timp despre industria cripto. Iată dezvăluirile noastre financiare actuale.
© 2026 The Block. Toate drepturile rezervate. Acest articol este furnizat doar în scopuri informative. Nu este oferit sau destinat a fi folosit ca sfat legal, fiscal, investițional, financiar sau de altă natură.
