Drift Protocol po ataku za 285 mln USD: sześciomiesięczna operacja socjotechniczna powiązana z KRLD

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Atak na Drift Protocol pokazuje, iż najpoważniejsze incydenty w sektorze DeFi nie zawsze wynikają z błędów w smart kontraktach. W tym przypadku kluczową rolę odegrała długotrwała operacja socjotechniczna, której celem było przejęcie uprawnień administracyjnych i wykorzystanie mechanizmów zarządzania do kradzieży środków.

Według dostępnych informacji straty sięgnęły około 285 mln USD, co czyni ten incydent jednym z największych ataków na projekty DeFi w 2026 roku. Sprawa zwraca uwagę na rosnące znaczenie ochrony ludzi, urządzeń końcowych i procesów governance w ekosystemie kryptowalut.

W skrócie

Atak na Drift Protocol miał być zwieńczeniem wielomiesięcznej kampanii socjotechnicznej.
Napastnicy mieli budować zaufanie do członków i współpracowników projektu, podszywając się pod legalne podmioty z branży.
Doszło do kompromitacji urządzeń i portfeli używanych przez osoby powiązane z projektem.
Przejęcie uprawnień administracyjnych umożliwiło manipulację mechanizmami zarządzania i eksfiltrację aktywów.
Incydent jest wiązany z taktykami przypisywanymi podmiotom powiązanym z Koreą Północną.

Kontekst / historia

Drift Protocol działa jako zdecentralizowana platforma handlu instrumentami pochodnymi w ekosystemie Solana. Projekty tego typu łączą wysoką automatyzację z mechanizmami awaryjnego zarządzania, które mają zapewniać szybką reakcję w sytuacjach krytycznych. Jednocześnie właśnie te ścieżki uprzywilejowanego dostępu stają się atrakcyjnym celem dla zaawansowanych grup atakujących.

Ustalenia po incydencie wskazują, iż przygotowania do ataku trwały od jesieni 2025 roku. Osoby powiązane z operacją miały nawiązywać relacje podczas konferencji i wydarzeń branżowych, a następnie kontynuować kontakt pod pretekstem współpracy biznesowej, testów aplikacji lub działań integracyjnych.

W późniejszych etapach ataku wykorzystano między innymi złośliwe repozytoria oraz fałszywe narzędzia portfelowe dystrybuowane jako legalne rozwiązania testowe. Taki model działania wpisuje się w szerszy trend, w którym cyberprzestępcy łączą spear phishing, socjotechnikę i kompromitację środowiska użytkownika zamiast atakować wyłącznie kod protokołu.

Analiza techniczna

Kluczowym elementem technicznym incydentu było przejęcie kontroli nad uprzywilejowanym obszarem zarządzania protokołem. Według ujawnionych informacji napastnicy uzyskali możliwość wykonywania działań administracyjnych po kompromitacji urządzeń lub środowisk używanych przez współpracowników Drift.

Oznacza to, iż klasyczny model bezpieczeństwa oparty na multisig i zaufanych sygnatariuszach okazał się niewystarczający. o ile osoba zatwierdzająca transakcje korzysta z niezabezpieczonego urządzenia lub zostanie nakłoniona do podpisania spreparowanej operacji, bezpieczeństwo całej warstwy governance może zostać podważone.

Szczególne znaczenie przypisuje się wykorzystaniu mechanizmu durable nonce w Solanie. Funkcja ta pozwala przygotować transakcję i zrealizować ją później, bez ograniczeń typowych dla standardowych podpisów czasowych. W scenariuszu ofensywnym może to umożliwić wcześniejsze autoryzowanie działań, które zostaną uruchomione w dogodnym momencie, co utrudnia ich szybkie wykrycie i powstrzymanie.

W przypadku Drift skutkiem miało być szybkie przejęcie kompetencji administracyjnych, a następnie modyfikacja zachowania protokołu i uruchomienie ścieżki kradzieży aktywów. Doniesienia wskazują również na wykorzystanie elementów związanych z fałszywym tokenem oraz manipulacją parametrami rynku, co sugeruje, iż atak łączył kilka warstw: socjotechnikę, kompromitację środowiska użytkownika, nadużycie uprawnień governance i działania stricte on-chain.

Na etapie poeksploatacyjnym istotna była także szybkość przemieszczania środków. Po incydencie aktywa miały być agregowane, dzielone między wiele portfeli, a częściowo również konwertowane i przenoszone pomiędzy łańcuchami. To typowy element operacji wymierzonych w projekty kryptowalutowe, którego celem jest utrudnienie śledzenia i ewentualnego zamrożenia funduszy.

Konsekwencje / ryzyko

Atak na Drift Protocol ma znaczenie wykraczające poza pojedynczy projekt. Pokazuje, iż choćby audytowany i rozpoznawalny protokół DeFi może zostać skutecznie zaatakowany nie przez lukę w smart kontrakcie, ale przez przejęcie ludzi i procesów administracyjnych.

Dla użytkowników to istotny sygnał ostrzegawczy. Bezpieczeństwo środków nie zależy wyłącznie od jakości kodu, ale również od odporności organizacji na phishing, kompromitację endpointów i nadużycia w warstwie governance. W praktyce oznacza to, iż audyt techniczny nie eliminuje ryzyka utraty aktywów.

Dla zespołów rozwijających rozwiązania Web3 incydent ujawnia ograniczenia modeli opartych na multisig, jeżeli sygnatariusze korzystają z podobnych kanałów komunikacji, tych samych urządzeń lub nie mają odpowiednio odseparowanych środowisk do zatwierdzania transakcji. W szerszym ujęciu sprawa może także zwiększyć presję regulacyjną na sektor aktywów cyfrowych i wymusić formalizację procedur bezpieczeństwa dla operacji administracyjnych.

Rekomendacje

Organizacje rozwijające protokoły DeFi powinny traktować governance, portfele uprzywilejowane i konta administracyjne jako krytyczne elementy infrastruktury. Ochrona tych zasobów musi obejmować nie tylko warstwę kryptograficzną, ale również bezpieczeństwo operacyjne użytkowników.

Wdrożenie ścisłej separacji środowisk dla sygnatariuszy uprzywilejowanych portfeli.
Używanie dedykowanych urządzeń i portfeli sprzętowych wyłącznie do zatwierdzania krytycznych operacji.
Zakaz wykorzystywania tych samych systemów do komunikacji, testów aplikacji i pracy deweloperskiej.
Weryfikacja każdej propozycji współpracy, testów lub integracji w formalnym procesie bezpieczeństwa.
Ograniczenie zaufania do aplikacji dystrybuowanych poza oficjalnymi kanałami oraz do repozytoriów zawierających skrypty instalacyjne i binarne zależności.
Wprowadzenie opóźnień czasowych, limitów operacyjnych i mechanizmów circuit breaker dla zmian o wysokim wpływie.
Monitorowanie anomalii on-chain i nietypowych transakcji z użyciem durable nonce, zwłaszcza dla kont uprzywilejowanych.
Przygotowanie playbooków szybkiego odcinania skompromitowanych sygnatariuszy od procesu zarządzania.

Zespoły bezpieczeństwa powinny ponadto rozwijać threat hunting ukierunkowany na osoby uprzywilejowane. Obejmuje to analizę prób spear phishingu, monitoring nietypowych kontaktów biznesowych, kontrolę integralności narzędzi deweloperskich oraz wykrywanie złośliwych rozszerzeń i aplikacji portfelowych.

Podsumowanie

Incydent Drift Protocol potwierdza, iż bezpieczeństwo DeFi nie kończy się na jakości smart kontraktów. Atak o wartości około 285 mln USD miał być efektem sześciomiesięcznej operacji socjotechnicznej, która doprowadziła do przejęcia uprzywilejowanych uprawnień i wykorzystania mechanizmów governance do kradzieży środków.

Dla całej branży to wyraźna lekcja, iż najwyższe ryzyko często pojawia się na styku socjotechniki, bezpieczeństwa endpointów i operacji on-chain. Skuteczna obrona wymaga więc podejścia security-by-design obejmującego nie tylko kod, ale cały łańcuch zaufania wokół protokołu.