1 kwietnia Drift Protocol, jedna z największych zdecentralizowanych platform do handlu kontraktami wieczystymi i zdecydowanie największa tego typu giełda na sieci Solana, padła ofiarą niezwykle zuchwałego ataku hakerskiego, w ramach którego z protokołu wyprowadzono ok. 285 mln dolarów w różnych kryptowalutach.
To największy atak na sektor zdecentralizowanych finansów w 2026 roku i zarazem jeden z najpoważniejszych incydentów w całej historii blockchainu. Według ustaleń śledczych i relacji liderów samego Drift Protocol nie zawiodły tutaj smart kontrakty. Zawiodło zaplecze operacyjne, procedury i zaufanie do ludzi, którzy przez wiele miesięcy budowali swoją wiarygodność tylko po to, żeby ostatecznie wbić przysłowiowemu smokowi sztylet w serce i ukraść całą zawartość jego pieczołowicie zapełnianego skarbca.
Wyprowadzili z Drift Protocol 1mld PLN. Wszystko zaczęło się od uścisku dłoni
Ale po kolei. Drift Protocol to projekt działający w obszarze zdecentralizowanych finansów, czyli typowych usług finansowych świadczonych na blockchainie bez udziału klasycznego pośrednika jak banki i domy maklerskie. Użytkownicy mogą w ramach tego rozwiązania handlować instrumentami pochodnymi opartymi na kryptowalutach, wpłacać zabezpieczenia, pobierać kredyty, lokować środki i korzystać z rozmaitych strategii oszczędnościowych i inwestycyjnych. Przed atakiem wartość środków zablokowanych w protokole sięgała około 550 mln USD.
Z dotychczasowych ustaleń wynika, że napastnicy nie weszli do systemu przez lukę w kodzie ani przez przypadkowo ujawnione hasło (dotychczas zmora w wielu projektach DeFi które padły ofiarą ataków hakerskich). Według diagnozy post-mortem opublikowanej w dniu dzisiejszym była to operacja przygotowywana przez wiele miesięcy. Osoby stojące za atakiem poznały twórców platformy na dużej konferencji poświęconej blockchainowi i kryptowalutom (szczegółów brak), podawali się za wiarygodnych uczestników rynku z ogromną wiedzą biznesową i programistyczną, utrzymywali kontakt z ludźmi związanymi z projektem przez wiele miesięcy, prowadzili długie, wyczerpujące rozmowy o potencjalnych strategiach i współpracy, a nawet wpłacili ogromne środki finansowe (mowa o milionie dolarów w stablecoinach) tylko po to, żeby stworzyć iluzję poważnego partnera. Innymi słowy: najpierw uśpiono czujność ofiary, a zaraz potem zadano śmiertelny cios.
Uważaj na co próbują Cię namówić „partnerzy”
Kluczowym elementem całej operacji było uzyskanie dostępu do urządzeń osób, które miały styczność z procesami administracyjnymi i kluczami potrzebnymi do zarządzania protokołem. Wystarczyły im dwa. Uzyskali je poprzez przekazanie w pewnym momencie programistom Drift „narzędzi współpracy” – skopiowanego repozytorium kodu, które po otwarciu folderu w edytorze VSCode automatycznie uruchomiło złośliwy plik konfiguracyjny – bez żadnego dodatkowego inputu użytkownika. Drugi z kluczowych programistów miał z kolei zainstalować u siebie fałszywą aplikację mobilną.
Ważną rolę odegrał też mechanizm tzw. durable nonce w sieci Solana. W największym uproszczeniu pozwala on przygotować transakcję tak, aby mogła zostać wykonana później, bez ryzyka, że stanie się nieważna z powodu upływu czasu. To użyteczne narzędzie, ale w niewłaściwych rękach może stać się furtką do poważnych nadużyć. W tym przypadku napastnicy wykorzystali wcześniej podpisane zgody lub przygotowane transakcje administracyjne, które wyglądały rutynowo, aby potem użyć ich w innym momencie, gdy kontrolowali już odpowiednie elementy procesu. Dzięki temu przejęli uprawnienia potrzebne do zmian w zabezpieczeniach protokołu.
Zobacz też jak krypto-detektyw ZachXBT krytykuje emitenta stablecoina USDC za „pomoc w scamach”:
USDC pod ostrzałem! Krypto detektyw uderza w Circle
Oberwało im się też za lenistwo przy hacku na Drift Protocol:
Haker przez kilka dobrych godzin kradł kryptowaluty ze znanej platformy. Nikt nie reagował
Operacja wykonana z chirurgiczną precyzją
Sam atak był bardzo szybki. Według analiz on-chain z feralnego dnia a kluczowa faza operacji trwała zaledwie kilkanaście minut. Napastnicy przejęli kontrolę nad mechanizmami administracyjnymi, dodali na platformie spreparowane zabezpieczenie (collateral), wyłączyć lub obeszli część limitów i opróżnili główne skarbce protokołu. Następnie środki były agresywne i błyskawicznie wymieniane i przenoszone między rozmaitymi sieciami blockchain, co mocno utrudniło ich wyśledzenie i ewentualne zamrożenie.
Drift po wykryciu incydentu wstrzymał wpłaty i wypłaty oraz rozpoczął kontaktowanie się z rozmaitymi właścicielami mostów kryptowalutowych, giełd, i wszelkich projektów które brały udział w próbach wyprania brudnych pieniędzy. Próbowano też skontaktować się z napastnikami poprzez wiadomości zapisane bezpośrednio w blockchainie, oferując im nagrodę za zwrot skradzionych środków. Problem w tym, że jeżeli już fundusze zdążą opuścić projekt i zaczną być mieszane między różnymi aktywami oraz sieciami, odzyskanie całości staje się już wówczas raczej mało prawdopodobne.
To robota profesjonalistów
Analitycy TRM Labs i Elliptic podejrzewają, że za operacją stoją podmioty powiązane z Koreą Północną. Zgadzają się znane już dobrze detektywom on-chain schematy działania: metodyczne i skrupulatne przygotowywanie skoku, uderzanie w ludzi i procedury zamiast w sam kod, błyskawiczne pranie skradzionych środków oraz sposób przemieszczania aktywów po ataku. Na tym etapie należy jednak mówić o atrybucji analitycznej, a nie o prawomocnie potwierdzonej odpowiedzialności.
Sprawa pokazuje jednak pewną zmianę charakteru zagrożeń w świecie kryptoaktywów. Przez lata najgłośniejsze włamy kojarzyły się raczej z błędami w smart kontraktach, wadliwą logiką protokołu albo lukami w mostach między blockchainami. Tutaj środek ciężkości przesunął się w stronę socjotechniki i bezpieczeństwa operacyjnego. Innymi słowy: nawet dobrze napisany kod nie wystarczy, jeżeli osoby mające dostęp do krytycznych uprawnień pracują na niezabezpieczonych urządzeniach, podpisują transakcje bez pełnej kontroli nad ich skutkami albo łączą środowisko deweloperskie z narzędziami do zarządzania realnymi środkami.
Wnioski
Śledztwo w tej sprawie jeszcze się nie skończyło, a część szczegółów technicznych zapewne jeszcze ulegnie zmianie. Już dziś wiadomo jednak, że przypadek Drift Protocol będzie długo przywoływany jako symboliczny dla całego sektora. Nie dlatego, że z protokołu zniknęły setki milionów dolarów, lecz dlatego, że tak duża i widowiskowa kradzież została przeprowadzona metodą starą jak świat- zbudowaniem kapitału zaufania oraz brzemienną w skutkach zdradą.