گروه لازاروس کره شمالی مظنون به سرقت 286 میلیون دلاری سولانا از پروتکل Drift
پروتکل Drift، بزرگترین صرافی غیرمتمرکز فیوچرز دائمی در شبکه سولانا، این سوءاستفاده را پس از مشاهده سقوط ارزش کل قفل شده (TVL) خود از تقریباً 550 میلیون دلار به کمتر از 250 میلیون دلار در یک صبح تأیید کرد که اکنون به 232 میلیون دلار رسیده است. Bitcoin.com News اولین رسانهای بود که این موضوع را گزارش داد. توکن DRIFT در ساعات بعد به میزان 37% تا 42% کاهش یافت و به نزدیکی 0.04 تا 0.05 دلار رسید.
گزارشها اشاره میکنند که حمله نه با یک باگ کد بلکه با برداشت از Tornado Cash آغاز شد. در 11 مارس، مهاجم ETH را از پروتکل حریم خصوصی مبتنی بر اتریوم برداشت کرد و از آن وجوه برای استقرار توکن carbonvote یا CVT در 12 مارس استفاده کرد. تحلیلگران بلاک چین اشاره کردند که مهر زمانی استقرار تقریباً مطابق با 09:00 به وقت پیونگیانگ بود، جزئیاتی که فوراً هشدارهایی را ایجاد کرد.
توکن DRIFT در 3 آوریل 2026.چندین گزارش جزئیات میدهند که در طول سه هفته بعدی، مهاجم نقدینگی حداقلی برای CVT در صرافی غیرمتمرکز Raydium ایجاد کرد و از تجارت شستشو برای حفظ قیمت نزدیک به 1.00 دلار استفاده کرد. اوراکلهای Drift آن قیمت را به عنوان قانونی خواندند. مهاجم دارایی های وثیقه جعلی ساخته بود که برای هر سیستم خودکاری که آن را تماشا میکرد واقعی به نظر میرسید.
"امروز زودتر، یک عامل مخرب از طریق یک حمله جدید شامل nonce های بادوام، دسترسی غیرمجاز به پروتکل Drift به دست آورد که منجر به تصرف سریع قدرتهای اداری شورای امنیت Drift شد"، تیم Drift نوشت.
حساب X پروژه اضافه کرد:
ظاهراً، بین 23 و 30 مارس، مهاجم Drift به لایه انسانی حرکت کرد. با استفاده از یک ویژگی قانونی سولانا به نام nonce های بادوام، مهاجم گزارش شده است که اعضای multisig شورای امنیت Drift را برای پیش امضای معاملاتی که معمولی به نظر میرسیدند وادار کرده است. آن امضاها به کلیدهای دسترسی از پیش تأیید شده تبدیل شدند که در ذخیره نگهداری میشدند تا زمانی که مهاجم آماده باشد.
افتتاح در 27 مارس بسته شد، زمانی که Drift شورای امنیت خود را به آستانه امضای 2 از 5 منتقل کرد و timelock خود را به طور کامل حذف کرد. یک timelock به طور معمول یک تاخیر 24 تا 72 ساعته را برای اقدامات اداری اعمال میکند و به جامعه زمان میدهد تا هر چیز مشکوکی را شناسایی و معکوس کند. بدون آن، مهاجم اختیار اجرای بدون تاخیر داشت. معاملات پیش امضا شده در لحظهای که timelock حذف شد زنده بودند.
در 1 آوریل، مهاجم آن معاملات را فعال کرد، CVT را به عنوان وثیقه معتبر فهرست کرد، محدودیتهای برداشت را افزایش داد و صدها میلیون توکن CVT را واریز کرد که در مقابل آن موتور ریسک Drift داراییهای واقعی صادر کرد. پروتکل میلیونها توکن JLP، میلیونها USDC، میلیونها SOL و مقادیر کمتری از بیت کوین و اتریوم wrapped را تحویل داد. سی و یک تراکنش برداشت در حدود 12 دقیقه پاکسازی شد.
مهاجم توکنهای سرقت شده را با استفاده از Jupiter به USDC تبدیل کرد، به اتریوم پل زد و به دهها هزار ETH تبدیل کرد. برخی از وجوه از طریق Hyperliquid هدایت شدند و بخشی مستقیماً به Binance منتقل شد. در 3 آوریل، Drift یک پیام آنچین از یک آدرس اتریوم به چهار کیف پول تحت کنترل هکر ارسال کرد. نشریه cryptonomist.ch گزارش میدهد که پیام به این صورت بود:
شرکتهای امنیتی Elliptic و TRM Labs این حمله را به عوامل تهدید مرتبط با کره شمالی نسبت دادهاند و به منشأ Tornado Cash، امضای استقرار به وقت پیونگیانگ، تمرکز مهندسی اجتماعی و سرعت پولشویی پس از هک اشاره کردهاند. گروه لازاروس از همان رویکرد صبورانه و هدفگیری انسانی در هک پل Ronin در سال 2022 استفاده کرد. دولت ایالات متحده این سرقتها را به تامین مالی برنامه تسلیحاتی کره شمالی مرتبط کرده است و Elliptic بیش از 300 میلیون دلار سرقت شده را فقط در سه ماهه اول سال 2026 ردیابی کرده است.
این سرایت به بیش از 20 پروتکل گسترش یافت. Prime Numbers Fi زیانهای میلیونی را گزارش داد. پروتکل Carrot عملکردهای ضرب و بازخرید را پس از تأثیر 50٪ از TVL خود متوقف کرد. پروتکل Pyra برداشتها را به طور کامل غیرفعال کرد و تمام وجوه کاربران را غیرقابل دسترس گذاشت. Piggybank 106,000 دلار از دست داد و کاربران را از خزانه تیم خود بازپرداخت کرد.
DeFi Development Corp.، یک شرکت فهرست شده در نزدک با استراتژی خزانه سولانا، در 1 آوریل تأیید کرد که هیچ قرار گرفتگی در معرض Drift ندارد. چارچوب ریسک آن پروتکل را به طور کامل حذف کرد. این واقعیت توجه بیشتری نسبت به آنچه احتمالاً شرکت قصد داشت جلب کرد.
حادثه Drift یک درس واضح ایجاد کرد که بیشتر صنعت قبلاً میدانستند اما به طور کامل اعمال نکرده بودند: یک timelock اختیاری نیست. حذف آن حفاظت واحد در 27 مارس یک حمله پیچیده چند هفتهای را به یک خروج نقدی 12 دقیقهای تبدیل کرد. حاکمیت پروتکل بدون مکانیزم تاخیر، حاکمیتی با در باز است.
48 ساعت بعد از حمله DeFi به عنوان بحرانی برای توانایی Drift در حفظ اعتماد کاربران و ترسیم مسیر بازیابی توصیف شد. از 3 آوریل، هیچ برنامه بازپرداخت جامعی اعلام نشده بود.
سوالات متداول 🔎
- چه اتفاقی برای پروتکل Drift افتاد؟ مهاجمان در 1 آوریل 2026، 286 میلیون دلار از پروتکل Drift را با استفاده از وثیقه جعلی و معاملات اداری پیش امضا شده برای خالی کردن خزانههای اصلی پروتکل در 12 دقیقه تخلیه کردند.
- چه کسی مسئول هک پروتکل Drift است؟ شرکتهای امنیتی، از جمله Elliptic و TRM Labs، این حمله را به عوامل تهدید مرتبط با کره شمالی نسبت دادهاند و به الگوهای پولشویی و مهرهای زمانی آنچین سازگار با صنعتکاری گروه لازاروس اشاره کردهاند.
- آیا پول من در پروتکل Drift امن است؟ Drift تمام واریزها و برداشتها را پس از حمله معلق کرد؛ کاربران در پروتکلهای تحت تأثیر مانند Pyra و Carrot از 3 آوریل 2026 همچنان قادر به دسترسی به وجوه نیستند.
- حمله nonce بادوام در DeFi سولانا چیست؟ یک حمله nonce بادوام از یک ویژگی قانونی سولانا برای پیش امضای معاملاتی که معمولی به نظر میرسند استفاده میکند و آنها را به عنوان کلیدهای مجوز زنده نگه میدارد تا زمانی که مهاجم تصمیم به اجرای آنها بگیرد.
منبع: https://news.bitcoin.com/drift-protocol-hack-2026-what-happened-who-lost-money-and-whats-next/








