क्या हुआ, किसने पैसे गंवाए, और आगे क्या होगा – फीचर्ड बिटकॉइन न्यूज़

DPRK Lazarus Group को Drift Protocol से $286 मिलियन की Solana चोरी में संदिग्ध माना जा रहा है

Drift Protocol, Solana नेटवर्क पर सबसे बड़ा विकेंद्रीकृत सतत फ्यूचर्स एक्सचेंज, ने शोषण की पुष्टि की जब उसका कुल लॉक्ड वैल्यू (TVL) एक ही सुबह में लगभग $550 मिलियन से गिरकर $250 मिलियन से कम हो गया, जो अब $232 मिलियन पर खड़ा है। Bitcoin.com News ने इस मुद्दे पर सबसे पहले रिपोर्ट की। DRIFT टोकन इसके बाद के घंटों में 37%–42% तक गिर गया, जो $0.04 से $0.05 के पास सबसे निचले स्तर पर पहुंच गया।

रिपोर्टों में कहा गया है कि हमला कोड बग से नहीं बल्कि Tornado Cash निकासी से शुरू हुआ। 11 मार्च को, हमलावर ने Ethereum-आधारित गोपनीयता प्रोटोकॉल से ETH निकाला और उन फंडों का उपयोग 12 मार्च को carbonvote टोकन, या CVT, को तैनात करने के लिए किया। ब्लॉकचेन विश्लेषकों ने नोट किया कि तैनाती का टाइमस्टैम्प लगभग 09:00 प्योंगयांग समय से मेल खाता था, एक विवरण जिसने तुरंत संदेह खड़ा किया।

कई रिपोर्टों में विस्तार से बताया गया है कि अगले तीन हफ्तों में, हमलावर ने Raydium विकेंद्रीकृत एक्सचेंज पर CVT के लिए न्यूनतम तरलता बनाई और $1.00 के पास कीमत बनाए रखने के लिए वॉश ट्रेडिंग का उपयोग किया। Drift के ओरेकल्स ने उस कीमत को वैध माना। हमलावर ने नकली संपार्श्विक बनाया था जो इसे देखने वाली हर स्वचालित प्रणाली के लिए वास्तविक दिखता था।

"आज पहले, एक दुर्भावनापूर्ण अभिनेता ने टिकाऊ nonces से जुड़े एक नए हमले के माध्यम से Drift Protocol तक अनधिकृत पहुंच प्राप्त की, जिसके परिणामस्वरूप Drift की Security Council प्रशासनिक शक्तियों का तेजी से अधिग्रहण हुआ," Drift टीम ने लिखा।

परियोजना के X खाते ने कहा:

जाहिर तौर पर, 23 मार्च और 30 मार्च के बीच, Drift हमलावर मानवीय स्तर पर चला गया। टिकाऊ nonces नामक एक वैध Solana सुविधा का उपयोग करके, हमलावर ने कथित तौर पर Drift की Security Council मल्टीसिग के सदस्यों को उन लेनदेन पर पूर्व-हस्ताक्षर करने के लिए प्रेरित किया जो नियमित लग रहे थे। वे हस्ताक्षर पूर्व-अनुमोदित एक्सेस कुंजियां बन गए, जब तक हमलावर तैयार नहीं हो गया तब तक आरक्षित रखे गए।

27 मार्च को उद्घाटन बंद हो गया, जब Drift ने अपनी Security Council को 2-of-5 हस्ताक्षर सीमा में स्थानांतरित किया और अपने टाइमलॉक को पूरी तरह से हटा दिया। एक टाइमलॉक आमतौर पर प्रशासनिक कार्यों पर 24 से 72 घंटे की देरी को मजबूर करता है, जिससे समुदाय को किसी भी संदिग्ध चीज़ को पकड़ने और उलटने का समय मिलता है। इसके बिना, हमलावर के पास शून्य-देरी निष्पादन प्राधिकरण था। पूर्व-हस्ताक्षरित लेनदेन टाइमलॉक के जाने के क्षण से सक्रिय थे।

1 अप्रैल को, हमलावर ने उन लेनदेन को सक्रिय किया, CVT को वैध संपार्श्विक के रूप में सूचीबद्ध किया, निकासी सीमा बढ़ाई, और CVT टोकन में सैकड़ों मिलियन जमा किए जिसके खिलाफ Drift के जोखिम इंजन ने वास्तविक संपत्ति जारी की। प्रोटोकॉल ने JLP टोकन में लाखों, USDC में लाखों, SOL में लाखों, और wrapped bitcoin और ethereum की छोटी मात्रा सौंप दी। लगभग 12 मिनट में इकतीस निकासी लेनदेन क्लियर हो गए।

हमलावर ने Jupiter का उपयोग करके चोरी किए गए टोकनों को USDC में परिवर्तित किया, Ethereum को ब्रिज किया, और हजारों ETH में स्वैप किया। कुछ फंड Hyperliquid के माध्यम से भेजे गए, और एक हिस्सा सीधे Binance में चला गया। 3 अप्रैल को, Drift ने एक Ethereum पते से चार हैकर-नियंत्रित वॉलेटों को एक ऑनचेन संदेश भेजा। प्रकाशन cryptonomist.ch की रिपोर्ट है कि संदेश में लिखा था:

सुरक्षा फर्मों Elliptic और TRM Labs ने हमले को DPRK-लिंक्ड खतरा अभिनेताओं को जिम्मेदार ठहराया है, Tornado Cash मूल, प्योंगयांग-समय तैनाती हस्ताक्षर, सामाजिक इंजीनियरिंग फोकस, और हैक के बाद लॉन्ड्रिंग गति का हवाला देते हुए। Lazarus Group ने 2022 Ronin bridge हैक में समान धैर्य और मानव-लक्ष्यीकरण दृष्टिकोण का उपयोग किया। अमेरिकी सरकार ने इन चोरियों को उत्तर कोरिया के हथियार कार्यक्रम फंडिंग से जोड़ा है, और Elliptic ने केवल 2026 की पहली तिमाही में $300 मिलियन से अधिक चोरी को ट्रैक किया है।

संक्रमण 20 से अधिक प्रोटोकॉल में फैल गया। Prime Numbers Fi ने लाखों में नुकसान की सूचना दी। Carrot Protocol ने अपने TVL के 50% प्रभावित होने के बाद मिंट और रिडीम फ़ंक्शन को रोक दिया। Pyra Protocol ने निकासी को पूरी तरह से अक्षम कर दिया, जिससे सभी उपयोगकर्ता फंड अप्राप्य हो गए। Piggybank ने $106,000 खो दिए और अपने स्वयं के टीम ट्रेजरी से उपयोगकर्ताओं को प्रतिपूर्ति की।

DeFi Development Corp., Solana ट्रेजरी रणनीति वाली एक Nasdaq-सूचीबद्ध कंपनी, ने 1 अप्रैल को पुष्टि की कि उसका कोई Drift एक्सपोजर नहीं था। इसके जोखिम ढांचे ने प्रोटोकॉल को पूरी तरह से बाहर रखा। उस तथ्य ने कंपनी की संभावित इच्छा से अधिक ध्यान आकर्षित किया।

Drift घटना ने एक स्पष्ट सबक दिया जो अधिकांश उद्योग पहले से ही जानता था लेकिन पूरी तरह से लागू नहीं किया था: टाइमलॉक वैकल्पिक नहीं है। 27 मार्च को उस एकल सुरक्षा को हटाने ने एक जटिल, बहु-सप्ताह के हमले को 12 मिनट के कैश-आउट में बदल दिया। देरी तंत्र के बिना प्रोटोकॉल शासन खुले दरवाजे के साथ शासन है।

DeFi हमले के बाद के अगले 48 घंटे उपयोगकर्ता विश्वास बनाए रखने और पुनर्प्राप्ति मार्ग को मैप करने की Drift की क्षमता के लिए महत्वपूर्ण बताए गए। 3 अप्रैल तक, कोई व्यापक प्रतिपूर्ति योजना की घोषणा नहीं की गई थी।

FAQ 🔎

• Drift Protocol के साथ क्या हुआ? हमलावरों ने 1 अप्रैल, 2026 को Drift Protocol से $286 मिलियन निकाले, नकली संपार्श्विक और पूर्व-हस्ताक्षरित प्रशासनिक लेनदेन का उपयोग करके 12 मिनट में प्रोटोकॉल के मुख्य वॉल्ट को खाली कर दिया।
• Drift Protocol हैक के लिए कौन जिम्मेदार है? Elliptic और TRM Labs सहित सुरक्षा फर्मों ने हमले को DPRK-लिंक्ड खतरा अभिनेताओं को जिम्मेदार ठहराया है, लॉन्ड्रिंग पैटर्न और ऑनचेन टाइमस्टैम्प का हवाला देते हुए जो Lazarus Group ट्रेडक्राफ्ट के अनुरूप हैं।
• क्या Drift Protocol पर मेरा पैसा सुरक्षित है? Drift ने हमले के बाद सभी जमा और निकासी को निलंबित कर दिया; Pyra और Carrot जैसे प्रभावित प्रोटोकॉल में उपयोगकर्ता 3 अप्रैल, 2026 तक फंड तक पहुंचने में असमर्थ हैं।
• Solana DeFi में टिकाऊ nonce हमला क्या है? एक टिकाऊ nonce हमला एक वैध Solana सुविधा का उपयोग करता है जो नियमित दिखने वाले लेनदेन को पूर्व-हस्ताक्षर करने के लिए होता है, उन्हें लाइव प्राधिकरण कुंजी के रूप में तब तक रखता है जब तक हमलावर उन्हें निष्पादित करने का विकल्प नहीं चुनता।