Drift Protocol rystet av historisk DeFi-angrep
Tirsdag 1. april 2026 varslet Solana-baserte Drift Protocol at plattformen var under aktivt angrep. Da støvet la seg, var tre av selskapets viktigste hvelv nærmest tømt. Ifølge Elliptic utgjorde de stjålne midlene totalt 286 millioner dollar, noe som gjør hendelsen til det største desentraliserte finansangrepet (DeFi) registrert så langt i 2026, i følge Bitcoinist.
Drift bekreftet angrepet åpent og la umiddelbart ned innskudd og uttak. Protokollen koordinerer nå med en rekke sikkerhetsselskaper, krysskjedebroer og børser for å begrense skadeomfanget.
Slik ble hvelvene tømt
Angrepet var alt annet enn impulsivt. Ifølge Elliptic ble angriperens lommebok opprettet hele åtte dager før selve ranet, og mottok en liten testtransaksjon fra et Drift-hvelv i mellomtiden — et klassisk kjennetegn på en nøye planlagt operasjon.
De tre hvelvene som ble rammet hardest, var JLP Delta Neutral, SOL Super Staking og BTC Super Staking. Den største enkeltoverføringen alene — rundt 41,7 millioner JLP-tokens — hadde en verdi på omtrent 155 millioner dollar på transaksjonstidspunktet. I tillegg ble USDC, SOL, cbBTC, wBTC og ulike liquid staking-tokens stjålet.
En sentral del av angrepet besto i å ta kontroll over Drifts sikkerhetsrådets administrative rettigheter. Dette skjedde angivelig gjennom avansert sosial manipulasjon kombinert med forhåndsignerte transaksjoner. Angriperne fabrikerte også en fiktiv token kalt CarbonVote Token (CVT) og manipulerte orakeldata for å blåse opp CVTs sikkerhetsverdi kunstig — en teknikk som muliggjorde ytterligere uttrekk.
Midlene ble raskt hvitvasket via Ethereum
Etter at hvelvene var tømt, byttet angriperen de stjålne tokenene til USDC via en Solana-basert DEX-aggregator. Deretter ble midlene brobygd over til Ethereum-nettverket og vekslet videre til ETH — et mønster analytikerne gjenkjenner fra tidligere statssponsede operasjoner.
Elliptic og TRM Labs peker mot Pyongyang
Elliptic konkluderer med at «oppførselen på kjeden, hvitvasketeknikker og nettverksindikatorer knyttet til angrepet er i tråd med metoder sett i tidligere DPRK-tilskrevne operasjoner», ifølge Bitcoinist. TRM Labs trekker frem konkrete likhetstrekk med Bybit-exploiten i 2025: bruk av Tornado Cash, presis timing sammenfallende med nordkoreansk kontortid, aggressiv krysskjede-bridging og identiske hvitvaskmønstre.
Drift Protocol selv beskrev hendelsen som «et angrep seks måneder under planlegging» og tilskriver det med middels grad av sikkerhet til den nordkoreanske hackergruppen UNC4736 — også kjent under aliasene AppleJeus, Citrine Sleet, Golden Chollima og Gleaming Pisces.
Det er viktig å understreke at tilskrivning av statssponsede cyberangrep aldri er hundre prosent sikkert, og ingen offentlig tiltale eller offisiell statlig bekreftelse er kjent på publiseringstidspunktet. Likevel er sammenfallet mellom to uavhengige analytikere påfallende.
«Oppførselen på kjeden og hvitvasketeknikker er konsistente med metoder observert i tidligere DPRK-tilskrevne operasjoner» — Elliptic
Et mønster som fortsetter å eskalere
Dersom tilskrivningen holder seg, vil dette være det 18. DPRK-koblede kryptoangrepet Elliptic har sporet i inneværende år alene. Det samlede beløpet nordkoreanske aktører antas å ha stjålet i 2026 passerer dermed 300 millioner dollar — og over 6,5 milliarder dollar over de siste årene. Amerikanske myndigheter har tidligere koblet denne typen ran direkte til finansieringen av Nord-Koreas våpenprogrammer.
For brukere av DeFi-protokoller understreker saken en ubehagelig realitet: midler plassert i desentraliserte hvelv kan, uavhengig av brukerens intensjon, ende opp som finansiering for statlig etterretning og militær utvikling i et av verdens mest lukkede regimer.
