DPRK Lazarus-groep verdacht van Drift Protocol $286 miljoen Solana-diefstal
Drift Protocol, de grootste gedecentraliseerde perpetual futures-beurs op het Solana-netwerk, bevestigde de exploit nadat de total value locked (TVL) in één ochtend van ongeveer $550 miljoen naar onder de $250 miljoen was gekelderd, nu op $232 miljoen. Bitcoin.com News berichtte als eerste over het probleem. Het DRIFT-token daalde in de uren daarna met maar liefst 37%-42%, met een bodem rond $0,04 tot $0,05.
Rapporten melden dat de aanval niet begon met een codebug, maar met een Tornado Cash-opname. Op 11 maart haalde de aanvaller ETH uit het op Ethereum gebaseerde privacyprotocol en gebruikte die fondsen om op 12 maart het carbonvote-token, of CVT, uit te rollen. Blockchain-analisten merkten op dat het tijdstempel van de uitrol overeenkwam met ongeveer 09:00 uur Pyongyang-tijd, een detail dat onmiddellijk alarmbellen deed rinkelen.
DRIFT-token op 3 april 2026.Verschillende rapporten beschrijven dat de aanvaller in de daaropvolgende drie weken minimale liquiditeit voor CVT op de gedecentraliseerde beurs Raydium inbracht en wash trading gebruikte om een prijs rond $1,00 te handhaven. De orakels van Drift interpreteerden die prijs als legitiem. De aanvaller had nep-onderpand gebouwd dat echt leek voor elk geautomatiseerd systeem dat ernaar keek.
"Eerder vandaag kreeg een kwaadwillende actor ongeautoriseerde toegang tot Drift Protocol via een nieuwe aanval met durable nonces, wat resulteerde in een snelle overname van de administratieve bevoegdheden van Drift's Veiligheidsraad," schreef het Drift-team.
Het X-account van het project voegde toe:
Schijnbaar verplaatste de Drift-aanvaller zich tussen 23 en 30 maart naar de menselijke laag. Met behulp van een legitieme Solana-functie genaamd durable nonces zou de aanvaller leden van Drift's Veiligheidsraad multisig ertoe hebben gebracht transacties die routinematig leken voor te ondertekenen. Die handtekeningen werden vooraf goedgekeurde toegangssleutels, in reserve gehouden totdat de aanvaller klaar was.
De opening sloot op 27 maart, toen Drift zijn Veiligheidsraad migreerde naar een 2-van-5 handtekeningdrempel en zijn timelock volledig verwijderde. Een timelock dwingt doorgaans een vertraging van 24 tot 72 uur af op administratieve acties, waardoor de gemeenschap tijd krijgt om iets verdachts op te merken en terug te draaien. Zonder dit had de aanvaller executiebevoegdheid zonder vertraging. De vooraf ondertekende transacties waren actief zodra de timelock verdwenen was.
Op 1 april activeerde de aanvaller die transacties, voerde CVT op als geldig onderpand, verhoogde opnamelimieten en stortte honderden miljoenen in CVT-tokens waartegen Drift's risk engine echte activa uitgaf. Het protocol gaf miljoenen in JLP-tokens, miljoenen in USDC, miljoenen in SOL en kleinere hoeveelheden wrapped bitcoin en ethereum af. Eenendertig opnametransacties werden verwerkt in ongeveer 12 minuten.
De aanvaller converteerde de gestolen tokens naar USDC met behulp van Jupiter, maakte een bridge naar Ethereum en wisselde ze in tienduizenden ETH. Sommige fondsen werden gerouteerd via Hyperliquid, en een deel ging rechtstreeks naar Binance. Op 3 april stuurde Drift een onchain-bericht vanaf een Ethereum-adres naar vier door hackers gecontroleerde wallets. De publicatie cryptonomist.ch meldt dat het bericht luidde:
Beveiligingsbedrijven Elliptic en TRM Labs hebben de aanval toegeschreven aan aan DPRK gelinkte dreigingsactoren, onder verwijzing naar de Tornado Cash-oorsprong, de Pyongyang-tijd uitrolhandtekening, de focus op social engineering en de snelheid van witwassen na de hack. De Lazarus-groep gebruikte dezelfde geduld- en mensgerichte benadering bij de Ronin bridge-hack van 2022. De Amerikaanse overheid heeft deze diefstallen gekoppeld aan de financiering van Noord-Korea's wapenprogramma, en Elliptic heeft meer dan $300 miljoen gevolgd dat alleen al in het eerste kwartaal van 2026 werd gestolen.
De besmetting verspreidde zich naar meer dan 20 protocollen. Prime Numbers Fi meldde verliezen in de miljoenen. Carrot Protocol pauzeerde mint- en redeem-functies nadat 50% van zijn TVL was getroffen. Pyra Protocol schakelde opnames volledig uit, waardoor alle gebruikersfondsen ontoegankelijk werden. Piggybank verloor $106.000 en vergoedde gebruikers vanuit zijn eigen teamkas.
DeFi Development Corp., een aan Nasdaq genoteerd bedrijf met een Solana treasury-strategie, bevestigde op 1 april dat het geen Drift-exposure had. Zijn risicoframework sloot het protocol volledig uit. Dat feit trok meer aandacht dan het bedrijf waarschijnlijk bedoelde.
Het Drift-incident leverde één duidelijke les op die het grootste deel van de industrie al wist maar niet volledig had toegepast: een timelock is niet optioneel. De verwijdering van die enkele veiligheidsmaatregel op 27 maart veranderde een complexe aanval van meerdere weken in een uitbetaling van 12 minuten. Protocolgovernance zonder vertragingsmechanisme is governance met een open deur.
De volgende 48 uur na de DeFi-aanval werden als cruciaal beschreven voor het vermogen van Drift om gebruikersvertrouwen te behouden en een herstelpad uit te stippelen. Op 3 april was er nog geen alomvattend vergoedingsplan aangekondigd.
FAQ 🔎
- Wat is er gebeurd met Drift Protocol? Aanvallers hebben op 1 april 2026 $286 miljoen van Drift Protocol gestolen met behulp van nep-onderpand en vooraf ondertekende administratieve transacties om de kernkluizen van het protocol in 12 minuten leeg te halen.
- Wie is verantwoordelijk voor de Drift Protocol-hack? Beveiligingsbedrijven, waaronder Elliptic en TRM Labs, hebben de aanval toegeschreven aan aan DPRK gelinkte dreigingsactoren, onder verwijzing naar witwaspatronen en onchain-tijdstempels die consistent zijn met Lazarus Group-werkwijzen.
- Is mijn geld veilig op Drift Protocol? Drift heeft alle stortingen en opnames opgeschort na de aanval; gebruikers in getroffen protocollen zoals Pyra en Carrot kunnen op 3 april 2026 nog steeds geen toegang krijgen tot fondsen.
- Wat is een durable nonce-aanval in Solana DeFi? Een durable nonce-aanval gebruikt een legitieme Solana-functie om transacties die routinematig lijken voor te ondertekenen, en houdt ze als actieve autorisatiesleutels totdat de aanvaller ervoor kiest ze uit te voeren.
Bron: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/
