Hacknutí Drift Protocolu za 285 milionů dolarů se připravovalo šest měsíců, viní ho severokorejská skupina

1. dubna 2026 využít of SolanaProtokol Drift založený na platformě, který z platformy vyčerpal přibližně 285 milionů dolarů, nebyl spontánním útokem. Podle předběžných informací společnosti Drift vyšetřování, byl to výsledek strukturované zpravodajské operace, která začala nejméně o šest měsíců dříve a byla se střední až vysokou mírou jistoty připisována UNC4736, severokorejské státní skupině hrozby, sledované také jako AppleJeus nebo Citrine Sleet.

Jak vlastně začal hack Drift Protocol?

Podle týmu Drift Protocol operace začala na velké krypto konferenci na podzim roku 2025, kde jednotlivci prezentující se jako kvantitativní obchodní firma oslovili přispěvatele Driftu. To, co následovalo, nebyl rychlý phishingový pokus. Jednalo se o záměrnou, měsíce trvající kampaň na budování vztahů, která probíhala v rámci několika osobních setkání, na několika oborových konferencích a v různých zemích.

Skupina byla technicky zdatná, měla ověřitelné profesní zkušenosti a prokázala podrobnou znalost fungování systému Drift. Po prvním setkání byla založena telegramová skupina a po celé měsíce pokračovaly věcné diskuse o obchodních strategiích a integracích trezorů. Driftův tým poznamenal, že tyto interakce byly zcela v souladu s tím, jak legitimní obchodní firmy obvykle s protokolem komunikují.

Od prosince 2025 do ledna 2026 skupina na platformě Drift založila ekosystémový trezor. Tento proces zahrnoval předložení podrobností o strategii prostřednictvím formálního formuláře pro přijetí, účast na několika pracovních setkáních s přispěvateli platformy Drift a vložení více než 1 milionu dolarů vlastního kapitálu. Záměrně a trpělivě si vybudovali funkční operační zastoupení v rámci protokolu.

Poslední měsíce před zneužitím

Integrační rozhovory pokračovaly v únoru a březnu 2026. Přispěvatelé Driftu se znovu osobně setkali s jednotlivci ze skupiny na významných oborových akcích. V době, kdy nastal duben, byl vztah starý téměř šest měsíců. Nebyli to cizí lidé. Byli to lidé, se kterými Driftův tým spolupracoval a se kterými se několikrát setkal tváří v tvář.

Během tohoto období skupina sdílela odkazy na projekty, nástroje a aplikace, o kterých tvrdila, že je vyvíjí. Sdílení takových zdrojů je standardní praxí ve vztazích mezi obchodními firmami, což z něj udělalo efektivní mechanismus realizace.

Jaké byly vektory technického útoku?

Po útoku z 1. dubna provedla společnost Drift forenzní kontrolu postižených zařízení, účtů a historie komunikace. Chaty v Telegramu a škodlivý software používaný skupinou byly v okamžiku útoku kompletně odstraněny. Vyšetřování společnosti Drift identifikovalo tři pravděpodobné vektory narušení:

• Jeden z přispěvatelů mohl být ohrožen po naklonování úložiště kódu, které skupina sdílela, a které bylo prezentováno jako nástroj pro nasazení frontendu pro jejich trezor.
• Druhý přispěvatel byl přinucen stáhnout si aplikaci TestFlight, kterou skupina popsala jako svůj produkt v podobě peněženky. TestFlight je platforma společnosti Apple pro distribuci beta verzí aplikací pro iOS před jejich veřejným vydáním.
• V případě vektoru založeného na repozitářích byl pravděpodobným mechanismem známá zranitelnost v editorech kódu VSCode a Cursor, na kterou bezpečnostní výzkumníci aktivně upozorňovali mezi prosincem 2025 a únorem 2026. Otevření souboru, složky nebo repozitáře v postiženém editoru stačilo k tichému spuštění libovolného kódu bez výzvy, varování, dialogového okna s oprávněními nebo jakékoli viditelné indikace pro uživatele.

V době publikace stále probíhala kompletní forenzní analýza postiženého hardwaru.

Jak rychle byl útok proveden?

Nastavení sice trvalo šest měsíců, ale provedení bylo rychlé. Jakmile byla administrátorská kontrola nad protokolem převzata, finanční prostředky skutečných uživatelů byly vyčerpány za méně než 12 minut. Celková uzamčená hodnota Driftu (TVL) klesla z přibližně 550 milionů dolarů na méně než 300 milionů dolarů za méně než hodinu. Token DRIFT během incidentu klesl o více než 40 %. Bezpečnostní firma PeckShield potvrdila, že celková ztráta překročila 285 milionů dolarů, což představuje více než 50 % tehdejší TVL protokolu.

Driftův tým během chaosu zveřejnil na X příspěvek, aby objasnil, zda je situace skutečná, a napsal: „Toto není aprílový žert. Buďte opatrní až do odvolání.“ Veškeré vklady a výběry byly pozastaveny, protože začalo vyšetřování.

Objevte slibné projekty...

Slibné projekty...

(Inzerát)

Článek pokračuje...

Kam se podělo 285 milionů dolarů?

Útočník se po útoku rychle snažil zakrýt stopu finančních prostředků. Ukradená aktiva byla převedena na USDC a SOL a poté převedena ze Solany do Etherea pomocí protokolu Cross-Chain Transfer Protocol (CCTP) společnosti Circle. CCTP je nativní přemosťovací infrastruktura společnosti Circle, která umožňuje přesun USDC mezi různými blockchainy bez obalování. Na Ethereu byly finanční prostředky převedeny na ETH. Sledování na řetězci potvrdilo, že útočník nakonec nashromáždil 129 066 ETH v hodnotě přibližně 273 milionů dolarů.

Útočník také uložil SOL na burzy HyperLiquid i Binance, čímž rozšířil aktivitu na více platforem a zkomplikoval tak sledování.

Reagoval Circle dostatečně rychle?

Vyšetřovatel on-chainů ZachXBT po útoku veřejně kritizoval společnost Circle a poukázal na to, že velké množství ukradených USDC bylo během pracovní doby v USA převedeno ze Solany do Etherea, aniž by bylo zmrazeno. ZachXBT to porovnal s nedávným rozhodnutím společnosti Circle zmrazit 16 nesouvisejících firemních horkých peněženek v uzavřeném americkém občanskoprávním řízení s argumentem, že Circle měla jak technické možnosti, tak jasný precedent k zásahu, ale nejednala dostatečně rychle, aby omezila škody.

Kdo stojí za útokem?

Se střední až vysokou mírou jistoty a na základě vyšetřování provedeného týmem SEALS 911 připisuje Driftovo vyšetřování operaci stejným aktérům hackerského útoku na Radiant Capital z října 2024. Tento útok Mandiant formálně připsal skupině UNC4736, která je napojena na severokorejský stát.

Základem tohoto propojení je jak on-chain, tak i operační. Finanční toky použité k přípravě a testování operace Drift sahají zpět k peněženkám propojeným s útočníky z Radiant. Persony nasazené v rámci kampaně Drift navíc vykazují identifikovatelné překryvy se známými vzorci aktivit spojenými s KLDR.

Jedno důležité upřesnění od Driftova týmu: osoby, které se osobně účastnily konferencí, nebyly severokorejskými občany. Na této úrovni operací je známo, že aktéři hrozby spojení s KLDR nasazují třetí strany, kteří se starají o budování osobních vztahů a udržují skutečné agenty v odstupu.

Společnost Mandiant byla formálně pověřena vyšetřováním, ale dosud nevydala oficiální připisování exploitu Drift. Toto rozhodnutí vyžaduje dokončení forenzní analýzy zařízení, která stále probíhá.

Aktuální opatření pro reakci

V době zveřejnění podnikla společnost Drift následující kroky:

• Všechny zbývající funkce protokolu byly zmrazeny.
• Kompromitované peněženky byly odstraněny z multisig.
• Útočnické peněženky byly nahlášeny napříč burzami a provozovateli mostů.
• Společnost Mandiant byla pověřena jako hlavní forenzní partner

Společnost Drift uvedla, že tyto podrobnosti sdílí veřejně, aby ostatní týmy v ekosystému mohly pochopit, jak tento typ útoku ve skutečnosti vypadá, a aby mohly podniknout kroky k vlastní ochraně.

Závěr

Hacknutí Drift Protocolu není příběhem o zranitelnosti kódu, která proklouzla auditem. Je to příběh o soustavném lidském klamání. Útočníci strávili šest měsíců budováním důvěryhodnosti prostřednictvím osobních schůzek, funkční integrace trezoru a více než 1 milionu dolarů vlastního vloženého kapitálu, než provedli 12minutový odliv 285 milionů dolarů.

 Technické vektory, úložiště škodlivého kódu a falešná aplikace TestFlight, byly účinné právě proto, že důvěra potřebná k jejich otevření již byla pečlivě vybudována. 

Pro DeFi protokoly je ponaučení jasné: oblast útoku se neomezuje pouze na chytré smlouvy. Zahrnuje každé zařízení přispěvatele, každé úložiště třetí strany a každý vztah vybudovaný na oborové konferenci. UNC4736 to nyní demonstrovala dvakrát, poprvé na Radiant Capital v říjnu 2024 a znovu na Drift v dubnu 2026, pokaždé se stejným trpělivým a zdroji podpořeným přístupem.

Zdroje

1. Protokol driftu na XPříspěvek z 5. března

2. PeckShield na XPříspěvky (1.–2. dubna)

3. Lookonchain na XPříspěvky (1.–2. dubna)