Исследовательская фирма Elliptic в своём отчёте заявила, что взлом Drift Protocol, крупнейшего децентрализованного рынка перпетуальных фьючерсов на блокчейне Solana, на сумму $285 млн имеет «несколько признаков» участия хакерской группы, спонсируемой государством КНДР. Аналитики указали на поведение в блокчейне, методы отмывания средств и сетевые сигналы, совпадающие с предыдущими атаками, связанными с государственными структурами.
Если это подтвердится, данный инцидент станет восемнадцатой атакой, связанной с КНДР, отслеженной Elliptic в этом году, с общим объёмом похищенных средств, превышающим $300 млн. Как отмечается в отчёте, это продолжение устойчивой кампании КНДР по крупномасштабным кражам криптоактивов, которые, по данным правительства США, идут на финансирование программ создания оружия. За последние годы хакеры, связанные с КНДР, похитили криптоактивов на миллиарды долларов.
Ранее данные Arkham показали, что более $250 млн были перемещены из Drift в промежуточный кошелёк, а затем на различные другие адреса. В декабре отчёт Chainalysis показал, что хакеры из КНДР похитили рекордные $2 млрд в криптовалюте в 2025 году, включая взлом Bybit на $1,4 млрд, что на 51% больше, чем в предыдущем году.
Анализ Elliptic сосредоточен не на самой уязвимости, а на знакомом операционном паттерне. Активность выглядела «преднамеренной и тщательно спланированной»: перед основной атакой были проведены тестовые транзакции и подготовлены кошельки. После исполнения средства быстро консолидировались, обменивались, переводились между блокчейнами и конвертировались в более ликвидные активы, что отражает структурированный, повторяемый процесс отмывания.
Ключевой особенностью атаки стало использование легитимной функции Solana под названием «durable nonces» (устойчивые одноразовые коды). Эта функция, предназначенная для удобства аппаратных кошельков и офлайн-подписей, отменяет стандартное правило, по которому транзакция должна быть отправлена в сеть в течение 60–90 секунд после подписания. Вместо этого транзакция, подписанная с использованием «durable nonce», остаётся действительной неограниченное время.
Злоумышленник воспользовался этим, чтобы обмануть членов Совета безопасности Drift. Атакующий получил две подписи от членов мультисигнатуры (из пяти необходимых), вероятно, представив транзакции как рутинные. Эти подписи были «заблокированы» в транзакциях с «durable nonce», созданных ещё 23 марта. Даже после плановой смены состава совета 27 марта атакующий к 30 марта получил новые подписи, сохранив необходимый порог в 2 из 5.
1 апреля, примерно через минуту после легитимного тестового вывода средств из страхового фонда Drift, злоумышленник отправил заранее подписанные транзакции. Всего две транзакции, отправленные с разницей в четыре слота в блокчейне Solana, позволили получить полный контроль над протокольными разрешениями Drift. Затем был создан и использован мошеннический механизм вывода для опустошения хранилищ.
Общая сумма похищенного составила около $270 млн в десятках токенов. Крупнейшими позициями стали $155,6 млн в токенах JUP, $60,4 млн в USDC, $11,3 млн в CBBTC (wrapped bitcoin от Coinbase) и другие активы. Основной кошелёк злоумышленника был пополнен за восемь дней до атаки через протокол NEAR. Похищенные средства переводились на промежуточные кошельки, а затем на адреса в Ethereum через мост Wormhole. Адреса в Ethereum были предварительно пополнены через санкционированный миксер Tornado Cash.
Известный исследователь ZachXBT отметил, что более $230 млн в USDC было переведено с Solana на Ethereum через протокол CCTP компании Circle более чем в 100 транзакциях, и раскритиковал Circle за то, что та не заморозила украденные средства в шестичасовое окно после начала атаки.
Взлом не затронул смарт-контракты протокола. Проблема возникла на человеческом уровне — в процедурах безопасности вокруг мультисигнатуры. Функция «durable nonces» позволила разделить момент одобрения и момент исполнения транзакции более чем на неделю, создав разрыв в контексте. Все депозиты в кредитно-заёмные продукты и торговые фонды Drift пострадали, однако активы, не размещённые непосредственно в Drift, включая средства, застейканные в валидаторе Drift, не тронуты. Протокол заморожен, скомпрометированный кошелёк удалён из мультисигнатуры.
Этот инцидент подчёркивает, что отмывание средств стало по своей сути кросс-чейн процессом. Средства перемещались с Solana на Ethereum и далее, демонстрируя необходимость, как описывает Elliptic, «целостных возможностей кросс-чейн отслеживания».
