Atak na Drift Protocol: 285 mln dolarów strat po socjotechnice z użyciem durable nonce

Wprowadzenie do problemu / definicja

Drift Protocol, zdecentralizowana giełda działająca w ekosystemie Solana, padła ofiarą jednego z największych incydentów bezpieczeństwa w sektorze DeFi w 2026 roku. Atak nie opierał się na klasycznej luce w smart kontrakcie, ale na połączeniu socjotechniki, nadużycia mechanizmu multisig oraz wykorzystania funkcji durable nonce, która pozwala przygotować transakcję wcześniej i wykonać ją w późniejszym czasie.

To zdarzenie pokazuje, iż bezpieczeństwo projektów blockchain nie zależy wyłącznie od jakości kodu, ale również od procedur operacyjnych, modelu zarządzania oraz odporności osób zatwierdzających krytyczne działania administracyjne.

W skrócie

1 kwietnia 2026 roku napastnicy przejęli uprawnienia administracyjne Security Council w Drift Protocol i doprowadzili do drenażu aktywów o wartości około 285 mln dolarów. Według dostępnych analiz nie doszło do bezpośredniego złamania logiki smart kontraktów ani ujawnienia seed phrase.

Kluczowym elementem incydentu było uzyskanie podpisów sygnatariuszy multisig dla transakcji, których rzeczywisty skutek miał zostać ukryty lub błędnie przedstawiony. Publiczne analizy wskazują również na cechy operacyjne zbieżne z wcześniejszymi kampaniami przypisywanymi podmiotom powiązanym z Koreą Północną.

Kontekst / historia

W ostatnich latach sektor Web3 wielokrotnie doświadczał incydentów wynikających nie tylko z błędów programistycznych, ale również z kompromitacji procesów zarządzania uprzywilejowanym dostępem. Coraz częściej celem ataków stają się administratorzy, sygnatariusze multisig, operatorzy mostów oraz członkowie zespołów odpowiedzialnych za governance.

W takim modelu przeciwnik nie musi łamać kryptografii ani znajdować krytycznej luki w kodzie. Wystarczy skłonić odpowiednie osoby do zatwierdzenia działań, które z technicznego punktu widzenia wyglądają rutynowo, ale w praktyce prowadzą do przejęcia kontroli nad protokołem lub jego aktywami.

W przypadku Drift przygotowania do incydentu miały rozpocząć się jeszcze pod koniec marca 2026 roku. Z dostępnych informacji wynika, iż operacja była wieloetapowa, dobrze zaplanowana i ukierunkowana na przejęcie kontroli nad mechanizmami bezpieczeństwa oraz ścieżkami administracyjnymi protokołu.

Analiza techniczna

Sercem incydentu był mechanizm durable nonce w Solanie. Funkcja ta pozwala przygotować transakcję z wyprzedzeniem i wykonać ją później, co bywa przydatne operacyjnie, ale jednocześnie utrudnia pełną ocenę intencji transakcji przez osoby składające podpis. o ile proces akceptacji nie pokazuje jasno skutków biznesowych i technicznych, durable nonce może zostać użyte do ukrycia rzeczywistego celu operacji.

W Drift napastnicy mieli uzyskać wystarczającą liczbę podpisów w modelu multisig dla wcześniej przygotowanych transakcji administracyjnych. Po ich aktywacji doszło do przejęcia uprawnień Security Council, a następnie do zmian na poziomie protokołu, które umożliwiły wyprowadzenie środków z głównych zasobów.

Według publicznych analiz atakujący wykorzystali złośliwy lub sztucznie wykreowany składnik aktywów określany jako CarbonVote Token, a następnie usunęli limity wypłat i nadużyli błędnie zaakceptowanych zabezpieczeń do przejęcia realnych aktywów. Szczególnie istotne jest to, iż cały scenariusz nie wymagał exploita w smart kontrakcie.

To oznacza, iż klasyczne działania ochronne, takie jak code review, audyty kontraktów czy testy bezpieczeństwa, nie były wystarczające, by powstrzymać incydent. Słabość znajdowała się w warstwie governance i operational security, czyli w sposobie interpretowania transakcji, prezentowania informacji sygnatariuszom oraz kontroli nad zmianami administracyjnymi.

Dodatkowe raporty wskazują, iż środki zostały opróżnione z kluczowych vaultów w bardzo krótkim czasie. Charakterystyczne były także działania po kradzieży, w tym szybkie transfery między łańcuchami oraz wzorce prania środków znane z wcześniejszych operacji prowadzonych przez zaawansowane grupy sponsorowane państwowo.

Konsekwencje / ryzyko

Incydent potwierdza, iż jedną z największych słabości protokołów DeFi pozostają w tej chwili uprzywilejowane ścieżki administracyjne. choćby poprawnie zaprojektowany i audytowany kod może nie wystarczyć, jeżeli przeciwnik przejmie proces decyzyjny lub zmanipuluje osoby odpowiedzialne za autoryzację zmian.

Dla użytkowników oznacza to spadek zaufania do modeli bezpieczeństwa opartych wyłącznie na transparentności blockchaina i audytach kodu. Dla operatorów platform jest to sygnał, iż sygnatariusze multisig muszą być traktowani jak krytyczne aktywa bezpieczeństwa, porównywalne z administratorami systemów produkcyjnych.

Jeżeli potwierdzą się podejrzenia dotyczące udziału podmiotów powiązanych z Koreą Północną, atak na Drift wpisze się w szerszy trend strategicznych kradzieży kryptowalut realizowanych przez dobrze finansowanych i cierpliwych przeciwników. Takie operacje są zwykle oparte na rozpoznaniu ludzi, procesów i słabych punktów organizacyjnych, a nie wyłącznie infrastruktury technicznej.

Rekomendacje

Organizacje rozwijające protokoły blockchain powinny rozdzielić uprawnienia administracyjne od szybkich ścieżek operacyjnych. Każda transakcja zmieniająca governance, parametry ryzyka, whitelisty aktywów, źródła oracle lub limity wypłat powinna być objęta obowiązkowym timelockiem oraz niezależną weryfikacją poza głównym kanałem komunikacyjnym.

Sygnatariusze multisig powinni korzystać z narzędzi, które pokazują pełne skutki podpisywanej transakcji, a nie tylko techniczne metadane. W praktyce oznacza to konieczność stosowania dekoderów transakcji, symulacji efektów wykonania oraz procedur czterech oczu dla każdej operacji niestandardowej.

• wdrożenie ścisłych limitów dla zmian administracyjnych,
• niezależne monitorowanie zdarzeń governance w czasie rzeczywistym,
• automatyczne alarmowanie przy dodaniu nowych aktywów lub zmianie parametrów collateral,
• blokady awaryjne uruchamiane po wykryciu nietypowych transferów,
• segmentacja ról między osobami zatwierdzającymi i wdrażającymi zmiany,
• regularne szkolenia z zakresu socjotechniki i weryfikacji intencji operacyjnych.

W środowisku Web3 takie zabezpieczenia nie powinny być traktowane jako opcjonalny dodatek. To element podstawowej higieny bezpieczeństwa, bez którego choćby najbardziej zaawansowany technologicznie protokół może paść ofiarą manipulacji.

Podsumowanie

Atak na Drift Protocol jest ważnym ostrzeżeniem dla całego sektora DeFi. Incydent pokazał, iż choćby bez krytycznej luki w smart kontrakcie można doprowadzić do strat liczonych w setkach milionów dolarów, jeżeli przeciwnik przejmie proces autoryzacji działań administracyjnych.

Połączenie socjotechniki, mechanizmu durable nonce i niewystarczająco zabezpieczonego modelu governance stworzyło łańcuch zdarzeń, który zakończył się utratą około 285 mln dolarów. Najważniejszy wniosek jest prosty: bezpieczeństwo protokołu nie kończy się na audycie kodu, ale musi obejmować także ludzi, procedury i kontrolę nad uprzywilejowanym dostępem.

Źródła

1. The Hacker News — https://thehackernews.com/2026/04/drift-loses-285-million-in-durable.html
2. Elliptic — https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack
3. TRM Labs — https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist