Selle aasta suurim DeFi-rünnak toimus eelmisel nädalal 1. aprillil, kui Drift Protocol – üks suurimaid perp DEX-e Solana-võrgus – sai rünnatud ja protokollist kadus umbes 286 miljonit dollarit. Rünnak oli seotud Põhja-Korea sidemetega hakeritega ning kogu rünnak kestis vaid 10 sekundit. Selle rünnaku imetlusväärne külg oli aga selle täpsus. Ühtegi koodi ei rikutud ja ühelgi nutikas lepingul ei olnud vigu. Kriptoforensikaettevõtete Elliptic ja TRM Labs uurimused viitavad tegelikult palju arvestatud rünnakule.
Põhja-Korea ründajad kulutasid kolm nädalat vale tokeni CarbonVote loomisele, andsid sellele mõned tuhanded dollari, et see tundus reaalne, samal ajal kui nad kahele Drift’i viiest multisig Turvalisusnõukogu allkirjastajale teostasid sotsiaalset inseneritööd, pannes need enne allkirjastama peidetud volitusi, mida nad täielikult ei mõistanud. Seejärel kasutasid nad Solana võrgus olemasolevat funktsiooni „püsivad nonce’id“, et hoida neid allkirju reservis üle nädala, ootades õiget hetke. Piisas vaid ühest tehingust 1. aprillil.
Nagu Elliptic märkis, oli see rünnak juba selle aasta 18. kriptorünnak, mis on seotud Põhja-Koreaga, ja see tõi välja ligikaudu 300 miljonit dollarit. Neli päeva pärast rünnakut avaldas Ledgeri tehnoloogiadirektor oma seisukoha, rõhutades selle rünnaku äärmiselt häirivat loodust ja seda, et AI on lasknud selliste rünnakute kulud „nullini“ langeda. See avaldus on väga oluline, sest Drift’i rünnak on juhtumiuuring selle kohta, kuidas sellised operatsioonid tänapäeval töötavad. Ründajatel ei olnud vaja ühtegi zero-day turvalisuslücka ega tipptasemel krüptograafi. Kõike, mida nad vajasid, oli kannatlikkus, veenv valge token ja kaks inimest, keda nad saaksid manipuleerida. Rünnak paljastas tegelikult struktuurilise nõrkuse tänapäevases DeFis. DeFi ehitab miljardite dollarite infrastruktuuri, mille turvalisust tagavad väikesed inimeste rühmad, keda saab petta, samas kui vastased muutuvad järjest paremaks just selles.
Kuidas Põhja-Korea varastas 10 sekundiga 286 miljonit dollarit
Drift’i protokolli rünnak oli keerukas ekspluateerimine, mille ettevalmistus kestis kolm nädalat. Bloomberg teatas esimesena rünnakust 1. aprillil, kui Drift Protocol kinnitas, et ligikaudu 286 miljonit dollarit kasutajate varadest oli ära võetud. Täielik plaan algas tegelikult juba 11. märtsil, kui ründaja võttis umbes kell 9 hommikul Pyongyangi aegadel Tornado Cash’ist 10 ETH-i ja kasutas neid vale tokeni CarbonVote (CVT) – täiesti fiktiivse vara – deployimiseks, millele anti mõned tuhanded dollari likviidsust ja mida hoiti elus pesumüügiga.
Järgmise kahe nädala jooksul, 23.–30. märtsini, avas ründaja püsivaid nonce’i kontosid – see on Solana võrgus lubatud funktsioon, mis võimaldab tehinguid eelallkirjastada ja hoida neid piiramatuks ajaks aegumata. Selle aja jooksul rakendas ründaja sotsiaalset inseneritööd kahele Drift’i viiest Turvalisusnõukogu multisig-allkirjastajale, pannes need heaks kiitmaks tehinguid, mis näitsid normaalsed, kuid nagu hiljem TRM Labs kinnitas, sisaldasid peidetud volitusi kriitilise administraatorikontrolli jaoks.
Viimane osa paigutati 27. märtsil, kui Drift üle viis oma Turvalisusnõukogu uude 2/5 lävekonfiguratsiooni ilma üleüldiselt ajapiiranguta, nagu BlockSec raporteeris, mis eemaldas tegelikult ainsa viivituse, mis oleks võimaldanud kellegi märkida, mis tulemas on. Kui 1. aprill tuli, oli valetõmmis juba päevi varem täielikult laetud.
1. aprillil kasutas ründaja neid eelallkirjastatud heakskiitusi, et CarbonVote lisada kehtiva kolateraalina, paisutas selle väärtust manipuleeritud orakli hindamise abil sadadesse miljonitesse ja haaras valitsuse enda kätte. Sealt edasi tühjendati Drift’i vaultid 31 väljavõtetehinguga mõne sekundi jooksul. Suurim üksik summa sisaldas üle 155 miljoni dollari väärtuses JLP-tokeneid koos kümnete miljonite USDC, SOL, ETH ja muude likviidsete staking-tokentega, mis kõik drenaažisid, ning protokolli lockitud koguväärtus (TVL) langes kohe umbes 550 miljonilt alla 250 miljoni dollari.
Selle rünnaku kiirus on selle loo ainult üks osa. Kolme nädala pikkune üksikasjalik plaan, mis lõppes 10-sekundilise rünnakuga, näitas, kui lihtsalt valitsus, mitte kood, saab DeFis nõrgimaks lingiks.
Põhja-Korea 300 miljoni dollari kriptosõja aastal 2026
Seda rünnakut, mille eeldatavasti teostasid Põhja-Korea sidemetega ründajad, ei tohi mingil juhul pidada erandiks. Tegelikult, kui vaadata viimaste aastate kõige silmapaistvamaid rünnakuid, siis selgub, et see on osa palju suuremast, riiklikult toetatud kampaaniast. Ainuüksi sel aastal on Elliptic teatanud, et Drift’i ekspluateerimine muudab selle juba 18. DPRK-ile omistatud kriptovägivalla, tõstes selle aasta kogusummaga üle 300 miljoni dollari. Kui vaadata ka eelmisi aastaid, siis ühe riigi poolt teostatud selliste rünnakute ulatus muutub väga raskesti ignoreeritavaks. Eelmine aasta varastasid Põhja-Korea sidemetega tegelased TRM Labsi andmetel 1,92 miljardit dollarit, samas kui Chainalysis annab selle numbriks 2,02 miljardit dollarit kriptos. See tähendas 51% aastas kasvu rünnakute arvus ja tõstis nende koguajalise varastussumma 6,75 miljardini dollarit.
Põhja-Korea vastutas 2025. aastal rekordiliselt 76% kõigist teenuste kompromitteerimistest, mis tähendab, et üks riik vastutab ülekaalukalt suurest osast kogu tööstuses toimuvatest varastustest. Sellisel taustal sobib Drift’i rünnak – mis on nüüd teine suurim ekspluateerimine Solana ekosüsteemis pärast 2022. aasta Wormhole’i rünnakut – täpselt sellesse rünnakute musterisse.
Selle mustri määrab kindlaks pidevus. Veebruaris 2025 toimunud Bybit’i rünnak, mis oli seni kriptomaailma suurim varastus, oli peaaegu identne: sotsiaalne inseneritöö, ligipääs kompromitteeritud ja koordineeritud fondide vahetus. TRM Labs märkis, et DPRK-tegelased tuginenud üha rohkem „Hiina pesumasinavõrkudele“, et fondid saaksid erinevate ahelate vahel tunnisisuliselt üle viia.
Drift’i rünnak näitab tegelikult riiklikult toetatud meeskondade süsteemi, kes teostavad mitmekuuselisi operatsioone, millel on juba olemas luure, inimeste manipuleerimine ja globaalne rahapeseinfrastruktuur.
AI laskb rünnakute kulud „nullini“: Ledgeri tehnoloogiadirektor hoiatab
Neli päeva pärast Drift’i varastust ütles Ledgeri tehnoloogiadirektor Charles Guillemet CoinDeski midagi, mis muutis terve sündmuse konteksti. „Vulneraabilisuste leidmine ja nende ekspluateerimine muutub tõesti, tõesti lihtsaks,“ ütles ta. „Kulud langevad nullini.“ Guillemet ei nimetanud Drift’i, kuid kirjeldas täpselt selle mehhanismi. AI ei aita ründajaid lihtsalt kiiremini koodivigu leida, vaid muudab ka sotsiaalset inseneritööd veenvamaks, phishingu isikupärasemaks ja Põhja-Korea tegelaste Drift’i üle kolm nädalat kulutanud ettevalmistustöö odavamaks ja skaleeritavamaks kordades. Ta viitas ka kaitse poolel tekkinud kumulatiivsele probleemile: kui üha rohkem arendajaid toetuvad AI-genereritud koodile, siis võivad vulneraabilisused levima kiiremini, kui inimesed neid üle vaadata suudaksid. „Pole olemas nuppu ‘teeb turvaliseks’,“ ütles ta. „Me tootame palju koodi, mis on turvalisuse poolest algselt ebaturvaline.“ Viimase aasta jooksul põhjustasid rünnakud ja ekspluateerimised kriptomaailmas kaotusi 1,4 miljardi dollari väärtuses ja Guillemeti prognoos on, et see kõvera muutub järsult, mitte tasasemaks.
Drift’i rünnak on selles hoiatuses kõige selgem tõenduskogum. Ründajad ei puutunud koodi, vaid sihtisid kahte inimest, kes hoidsid võtmeid. AI-l ei pea murdma nutikat lepingut, kui see suudab genereerida piisavalt veenvat eesmõtet, et petta multisig-allkirjastaja tehingu heakskiitmises, mida ta täielikult ei mõista. Guillemet eeldab, et tööstus jaguneb: kriitilised süsteemid, näiteks rahakotid ja põhiprotokollid, investeerivad tugevalt turvalisusse ja kohanevad, kuid suurem osa laiemast tarkvarasüsteemist võib jääda järgi. Tema soovitud lahendused – matemaatiliste tõestuste kasutamine formaalse verifitseerimisega ja privaatvõtmete riistvaralisolatsioon – on struktuuriliselt kindlad, kuid nõuavad institutsionaalset kõvemat käitumist, mida enamik DeFi-protokolle, sealhulgas Drift, veel pole sisse ehitada saanud. „Kui sul on deditseeritud seade, mis ei ole interneti kättesaadav, on see algselt turvalisem,“ ütles ta. Drift’i Turvalisusnõukogul polnud sellist vahemikku. Kaks allkirja, null ajapiirang ja vale token – see oli kõik, mida vajas.
Mis juhtub edasi: Drift’i taastumine ja tööstuse reageerimine
Mis juhtub Drift Protocoliga edasi, on alles täiesti selge ja varajased signaalid jagavad juba tööstust. Kohe pärast sündmust pakkus Anatoly Yakovenko potentsiaalse taastumisteega tee: välja anda IOU-stiilis tokeni air-drop mõjutatud kasutajatele, järgides Bitfinexi 2016. aasta mustrit pärast tema 72 miljoni dollari rünnakut.
Mõte on lihtne – sotsialiseerida kaotused nüüd ja tasuda kasutajad tagasi aeglaselt, kui protokoll taastub. Kuid kontekst on väga erinev. Drift’i TVL on peaaegu pooleldi vähenenud, deposiitide ja väljavõtud on endiselt peatatud ja Bitfinexiga võrreldes puudub tal tsentraliseeritud tulubase, et need kohustused tagada. See on põhjustanud kohe vastuhaku: IOU-tokendid riskivad selles kontekstis muutuda puhtalt spekulatiivseteks instrumenditeks ilma selge taasväärtustamise teega.
Samal ajal teeb chain’i tegevus uusi muresid. Onchain Lens märkis, et Drift’i tiimi seotud rahakott liigutas rünnaku järel 56,25 miljonit DRIFT-tokenti (≈2,44 miljonit dollarit) keskkonnasüsteemsetesse börssidesse, sealhulgas Bybit’isse ja Gate’isse, mis tavaliselt eelneb müügirõhule ja on põhjustanud spekulatsioone sisemiste positsioonide kohta likviidsuskriisi ajal.
Samas on ründaja fondid juba üle viidud erinevate ahelate vahel, eriti Ethereumile, vähendades igapäevaselt tähendusliku taastumise tõenäosust. Laiem tähendus on see, et see sündmus ei lõppe Drift’iga. See tõenäoliselt kiirendab tööstuse laiemaid kontrollimisi DeFi valitsuse üle ise – alates multisig-turvalisusstandarditest ja ajapiirangute nõuetest kuni orakli disainini ja täitmiskontrollideni. Mis juhtub edasi, sõltub kolmest muutujast: kas Drift suudab esitada usutava taastumiskava, kas osa fondidest saab jälgida või kinni panna ja kas see sunnib lõpuks struktuurilist reformi või muutub lihtsalt veel üheks kalliks õppetunniks, millest tööstus edasi liigub.
Kui sa seda loed, siis oled juba ees. Jää sinna meie uudiskirjaga.
Allikas: https://www.cryptopolitan.com/drift-protocol-hack-north-korea-ai/
