Злом Drift Protocol: як Північна Корея викрала $285 млн за 12 хвилин
Злом децентралізованого протоколу Drift Protocol став найбільшим пограбуванням у DeFi-секторі 2026 року. За лічені хвилини зловмисники вивели $285 млн — результат шестимісячної операції, яка поєднала соціальну інженерію, компрометацію інфраструктури та складні маніпуляції з блокчейном. Слідчі впевнено пов'язують атаку з північнокорейським угрупованням UNC4736.
Шість місяців підготовки: анатомія атаки
Атака не була імпровізацією — вона готувалася пів року. Зловмисники діяли під виглядом кількісної торгової фірми, систематично вибудовуючи довіру з командою Drift Protocol. Вони з'являлися на галузевих конференціях, спілкувалися з розробниками особисто та навіть вклали понад $1 млн власних коштів у протокол — щоб виглядати переконливо.
Цей підхід спрацював. Отримавши достатній рівень довіри, зловмисники скомпрометували ключі адміністратора через методи соціальної інженерії. Після цього відкрився наступний етап: маніпулювання оракулами ціни через фейтовий токен.
Власне виведення коштів зайняло лише 12 хвилин. За цей час з протоколу зникло приблизно 41,7 млн токенів JLP (на суму ~$155 млн), а також USDC, SOL та інші цифрові активи, зокрема ліквідні стейкінг-токени. Загальний збиток — $285 млн.
Слід у блокчейні: як Elliptic відстежила кошти
Відстеження вкрадених активів у мережі Solana — завдання нетривіальне. Архітектура Solana передбачає окремий токен-акаунт для кожного активу, що суттєво ускладнює аналіз.
Компанія Elliptic застосувала технологію Advanced Clustering, яка автоматично пов'язує основний акаунт зловмисника з усіма його токен-акаунтами. Це дало змогу отримати цілісну картину переміщення коштів, попри фрагментовану природу даних Solana.
Картина виявилася чіткою: після виведення з Drift Protocol кошти були стрімко конвертовані у USDC на децентралізованій біржі Solana, а потім переведені в ETH на блокчейні Ethereum — стандартна схема для заплутування слідів.
Північнокорейський слід
За даними Elliptic та TRM Labs, атаку пов'язують з угрупованням UNC4736, відомим також під назвами AppleJeus, Citrine Sleet, Golden Chollima та Gleaming Pisces. Це те саме угруповання, якому приписують атаку на Radiant Capital у жовтні 2024 року — тактичні схожості між двома операціями очевидні.
Злом Drift Protocol став вісімнадцятим задокументованим Elliptic інцидентом, пов'язаним з діяльністю КНДР, у 2026 році. Загальна сума викраденого північнокорейськими акторами цього року перевищила $300 млн.
Варто зазначити, що паралельно з атакою було виявлено компрометацію ланцюжка постачання пакета Axios npm — також пов'язану з КНДР. Це підкреслює, що загроза виходить далеко за межі прямих атак на протоколи.
Наслідки: ринок і протокол
Ринкова реакція на курс криптовалюти була миттєвою: токен DRIFT втратив понад 40% вартості одразу після оголошення про злом. TVL протоколу впав з ~$550 млн до менше ніж $250 млн.
Уроки для екосистеми Solana
Ця атака виявила системні вразливості, актуальні для всього DeFi-сектору:
Контроль доступу. Кожен пристрій, що має доступ до мультипідпису, слід розглядати як потенційну ціль. Компрометація одного вузла не повинна відкривати доступ до всієї системи.
Перевірка залежностей. Враховуючи зафіксовані атаки на ланцюжки постачання npm-пакетів, необхідна регулярна аудиторська перевірка всіх програмних компонентів і сторонніх залежностей.
Технічні запобіжники. Часові замки на виведення великих сум та надійний дизайн оракулів могли б суттєво обмежити збитки або повністю зупинити атаку.
Перевірка партнерів. Шестимісячна підготовка зловмисників показує: процедури верифікації зовнішніх учасників потребують значного посилення — незалежно від рівня демонстрованої лояльності.
Злом Drift Protocol — це не просто черговий інцидент у довгому списку DeFi-зломів. Це детально спланована державна операція, спрямована проти децентралізованої фінансової інфраструктури. Відповідь на таку загрозу вимагає системного підходу: від технічних засобів захисту до культури безпеки всередині команд.