TL;DR

  • Drift Protocol — den største desentraliserte futuresbørsen på Solana — ble tømt for anslagsvis 285 millioner dollar 1. april 2026
  • Angrepet tok omtrent 12 minutter og ble muliggjort gjennom kompromitterte administratornøkler og sosial manipulasjon
  • Blockchainanalysefirmaene Elliptic og TRM Labs har begge flagget angrepet som bærende kjennetegn fra nordkoreanske statshackere
  • Drifts totale verdi låst (TVL) falt nær 50 prosent, og DRIFT-tokenet raste over 20 prosent i kjølvannet

Vaultene tømt på rekordtid

Natt til 1. april 2026 ble Drift Protocol — den største desentraliserte børsen for evigvarende futures på Solana-nettverket — utsatt for ett av de mest destruktive DeFi-angrepene hittil i år. Ifølge Unchained ble midlene, som inkluderte JLP-tokens, USDC, WETH og WBTC, trukket ut i løpet av omtrent tolv minutter. Elliptic anslo det totale tapet til 286 millioner dollar.

Stjålne midler ble i løpet av få timer brofraktet fra Solana over til Ethereum — en klassisk fremgangsmåte for å komplisere sporingsarbeidet.

Vaultene ble tømt på 12 minutter — og pengene var på vei ut av Solana før de fleste reagerte
Nordkoreanske hackere mistenkes bak $285 millioner DeFi-ran på 12 minutter

Ikke en svakhet i koden — men i nøklene

Berørte parter og sikkerhetsforskere understreker at angrepet ikke utnyttet en feil i selve smartkontrakten. Ifølge forskningsnotater fra Elliptic og TRM Labs var dette en høyt sofistikert operasjon der angriperne skaffet seg kontroll via en kompromittert administratornøkkel, kombinert med sosial manipulasjon og svikt i operasjonell sikkerhet.

Mer konkret skal angriperne ha utnyttet såkalte «durable nonces» for å oppnå administrativ kontroll, listeført et nytt marked og hevet uttaksgrensene — alt mens protokollens egne forsvarssystemer ikke varslet i tide.

Dette minner om metodikken bak en rekke andre nordkoreatilknyttede angrep, der tilgang via insidere eller sosial manipulasjon har vært avgjørende — ikke klassisk kodeeksploatering.

Nordkoreanske hackere mistenkes bak $285 millioner DeFi-ran på 12 minutter

Elliptic og TRM Labs peker mot Pyongyang

Verken Elliptic eller TRM Labs har på nåværende tidspunkt offentliggjort fullstendige tekniske attribusjonsrapporter, og det er viktig å understreke at mistanken foreløpig er basert på mønstertilpasning — ikke juridisk bevist identifikasjon. Likevel er begge firmaenes vurderinger at angrepet bærer kjennetegn som er typiske for nordkoreanske statsstøttede aktører.

Dette faller inn i et større mønster. Ifølge Chainalysis stjal nordkoreanske hackergrupper mer enn to milliarder dollar i kryptovaluta i 2025 alene — en ny rekord som utgjorde rundt 60 prosent av alle stjålne midler i sektoren. Februarangrep mot Bybit i 2025, der 1,5 milliarder dollar forsvant, regnes fortsatt som det største enkeltran i kryptohistorien.

$285M
Anslått tyvgods fra Drift
~12 min
Tid for å tømme vaultene
$2B+
Nordkoreas kryptotyveri i 2025

Statssponsede hackere med industrialisert hvitvasking

Nordkoreanske hackergrupper — primært Lazarus Group, som opererer under landets etterretningstjeneste Reconnaissance General Bureau — er ifølge forskningsmateriale fra Chainalysis og TRM Labs spesialister på rask post-hack hvitvasking. Etter Bybit-angrepet observerte analytikere at 160 millioner dollar ble kanalisert gjennom ulovlige nettverk i løpet av to dager.

Stjålne midler struktureres typisk i mindre transjer under 500 000 dollar, sendes gjennom krysskjede-broer og miksetjenester, og vaskes til slutt gjennom kinesiske skyggemeglere som konverterer krypto til yuan eller overføres direkte til nordkoreanske frontselskaper.

Andrew Fierman, leder for nasjonal sikkerhetsettretning hos Chainalysis, har tidligere uttalt at nordkoreanske aktører «alltid vil søke nye vektorer for å stjele midler på vegne av regimet», og at metodene er «i konstant utvikling, høyt sofistikerte og dypt forankret på tvers av jurisdiksjoner».

Solana DeFi under press

Angrepet er det hittil alvorligste i en rekke av sikkerhetshendelser som har rammet Solana-baserte protokoller. Ifølge forskningsdata har Solana-prosjekter tapt over 450 millioner dollar til eksploatering mellom 2021 og 2025. Wormhole-broen ble tappet for 325 millioner dollar i 2022, og Mango Markets mistet 115 millioner dollar samme år.

Anton Kharitonov fra Traders Union påpeker at Drift-eksploateringen «har svekket markedstilliten til Solana ytterligere» — en observasjon som må leses i lys av at Solanas samlede TVL på tvers av DeFi nærmet seg 8,6 milliarder dollar ved utgangen av 2024.

Solana-nettverket selv har ikke vært det primære angrepsmålet — det er protokollene og nøkkelhåndteringen hos teamene som har sviktet. Men for brukere og investorer er skillet mellom nettverkssikkerhet og protokollsikkerhet lite trøstende når midlene er borte.

Hva skjer videre?

Drift-teamet har ikke offentliggjort en fullstendig hendelsesrapport per 4. april 2026. Blockchain-analysefirmaene følger sporbarheten til de stjålne midlene, men historien fra tidligere nordkoreatilknyttede ran — inkludert Bybit og Ronin — viser at slike midler sjelden er gjenopprettbare. Myndighetene i USA har tidligere sanksjonert Lazarus Group og tilknyttede lommebokadresser, men effekten på faktisk pengeinnhenting har vært begrenset.

For DeFi-sektoren som helhet aktualiserer hendelsen spørsmålet om protokoller med sentraliserte administratornøkler reelt sett lever opp til løftet om desentralisert sikkerhet.