Drenet i løpet av timer
Natt til 2. april norsk tid bekreftet Drift Protocol via sin offisielle X-konto at protokollen var under aktivt angrep. Alle innskudd og uttak ble øyeblikkelig stanset. Teamet la til en uvanlig presisering: «Dette er ikke en aprilspøk» – en nødvendig klargjøring gitt at angrepet fant sted på årets første dag.
Ifølge Decrypt ble om lag 285 millioner dollar i digitale eiendeler stjålet, noe sikkerhetsfirmaet Elliptic estimerte til nærmere 286 millioner dollar når alle aktiva ble regnet sammen. Angriperen drenerte blant annet 41,7 millioner JLP-tokens verdt rundt 155 millioner dollar, 51,6 millioner USDC, 125 000 innpakkede SOL og betydelige mengder cbBTC.
Ikke et smartkontrakt-problem
Drift Protocol understreket at ingen feil i selve smartkontraktkoden ble utnyttet. Angrepet var ifølge protokollen en «svært sofistikert operasjon» som kombinerte Solanas såkalte «durable nonces» – en mekanisme for forhåndsignerte transaksjoner med forsinket utførelse – med kompromitterte multisig-godkjenninger. Dette ga angriperen administrativ kontroll over Drifts sikkerhetsektor.
Eksperter sitert av Decrypt trekker frem et viktig skille: sårbarheten lå hos menneskene som forvaltet de administrative nøklene, ikke i koden de kontrollerte. Etterforskninger tyder på at angriperen forberedte seg i ukesvis og gjennomførte en testoverføring omtrent åtte dager i forveien.
Elliptic peker mot Nord-Korea
Blokkjede-sikkerhetsfirmaet Elliptic har identifisert flere indikatorer som knytter angrepet til Nord-Korea (DPRK). Firmaet viser til konsistent on-chain-atferd, kjente hvitvaskningsmønstre og nettverksindikatorer som tidligere er satt i sammenheng med statsstøttede nordkoreanske operasjoner. Påstanden er foreløpig ikke bekreftet av uavhengige myndigheter, og bør behandles som en kvalifisert mistanke snarere enn et fastsatt faktum.
Krypto-etterforskeren ZachXBT rettet i tillegg kritikk mot Circle, utstederen av USDC, for sen respons: angriperen skal ha hatt flere timer til å veksle stjålne midler til USDC og bruke dem til å krysse over til Ethereum-kjeden før noen fryse-mekanisme ble aktivert.
Smitteeffekt i Solana-økosystemet
Angrepet utløste bred frykt for smitteeffekter i Solanas DeFi-univers. Ifølge research-data falt Solanas totale TVL med nær én milliard dollar i løpet av noen få timer da brukere trakk seg ut av andre protokoller. Jito, Raydium og Sanctum registrerte alle utstrømning på mellom fire og fem prosent. Protokollene PiggyBank_fi og Reflect Money satte midlertidig stopp for innskudd, uttak og lånefunksjoner.
DRIFT-tokenet falt mellom 20 og 40 prosent i umiddelbar etterkant av hendelsen.
Viktoras Karapetjanc fra Traders Union beskrev hendelsen overfor Decrypt som en «betydelig omdømmemessig utfordring» for Solana – en kjede som allerede opererer i et makromiljø preget av risikoaversjon, med Fear & Greed-indeksen nede på 12 av 100 ved publiseringstidspunktet.
Drift samarbeider med myndigheter
Drift Protocol opplyser at de koordinerer med flere sikkerhetsfirmaer, kryss-kjede-broer, sentraliserte børser og rettshåndhevende myndigheter for å spore de stjålne midlene og forsøke å gjenvinne dem. En mer detaljert hendelsesrapport er lovet, men er ikke publisert på publiseringstidspunktet.
Sammenstilt med Ronin-nettverkets tap på 625 millioner dollar i 2022 – et angrep også koblet til Nord-Korea – representerer Drift-hendelsen en av de største DeFi-tyveriene i blokkjedehistorien, og setter nok en gang søkelys på om administrativ sikkerhet i protokoller holder mål.
Kilder: Decrypt, Elliptic, ZachXBT (on-chain)
