Pohjois-Korean hakkerit iskivät jälleen
Solana-lohkoketjun suurin johdannaispörssi Drift Protocol on menettänyt arviolta 285 miljoonaa dollaria poikkeuksellisen pitkälle kehitetyssä hyökkäyksessä. Isku oli yli puoli vuotta kestäneen soluttautumisoperaation tulos, ja se aiheutti valtavia kerrannaisvaikutuksia koko hajautetun rahoituksen ekosysteemissä.
Hyökkäys toteutettiin aprillipäivänä
Keskiviikkona 1.4.2026, klo 23.00 aikoihin toteutettiin vuoden 2026 toistaiseksi suurin hajautetun rahoituksen (DeFi) tietomurto, kun Solana-lohkoketjussa toimiva Drift Protocol hakeroitiin. Hyökkääjät veivät alustalta yhteensä noin 285 miljoonan dollarin edestä kryptovaluuttoja, pääasiassa USDC-vakaavaluuttaa ja JLP-tokeneita. Hyökkäyksen laajuus valkeni markkinoille nopeasti, ja julkiset tiedotteet sekä uutiset protokollan jäädyttämisestä levisivät 2.4.2026, klo 07.50 mennessä, jolloin alustan oman valuutan kurssi oli jo romahtanut.
Tutkintaa johtavat tietoturvayhtiöt Mandiant, TRM Labs ja Elliptic ovat arvioineet keskisuurella tai korkealla varmuudella, että iskun takana on Pohjois-Korean valtion tukema kyberrikollisryhmä UNC4736. Ryhmittymä tunnetaan alalla myös nimillä Lazarus Group, AppleJeus ja Citrine Sleet.
Drift Protocol väittää että taustalla oli yli 6kk kestänyt soluttautuminen
Drift Protocolin tuoreen teknisen raportin mukaan isku ei johtunut yksinkertaisesta älysopimuksen koodausvirheestä. Kyseessä oli poikkeuksellisen hienostunut tiedustelu- ja soluttautumisoperaatio, joka vaati valtavasti resursseja ja kärsivällisyyttä. Syksyllä 2025 alkanut operaatio käynnistyi suurissa kryptovaluutta-alan konferensseissa, joissa ryhmän jäsenet esiintyivät uskottavasti kvantitatiivisen kaupankäyntiyrityksen edustajina. He loivat vakuuttavat taustatarinat ja ammatilliset profiilit, joiden avulla he onnistuivat rakentamaan luottamusta Driftin kehittäjiin kasvotusten. Luottamuksen syventämiseksi ryhmä sijoitti yli miljoona dollaria omaa pääomaansa alustan holveihin joulukuun 2025 ja tammikuun 2026 välisenä aikana. Konferensseissa asioineet henkilöt eivät olleet pohjoiskorealaisia, vaan valtiollisten toimijoiden tarkoituksella käyttämiä ulkopuolisia välikäsiä suhdetoiminnan hoitamiseksi.
Lopullinen murtoreitti järjestelmiin aukesi todennäköisesti ohjelmistokehitystyökalujen välityksellä. Hyökkääjät hyödynsivät muun muassa VSCode- ja Cursor-koodieditoreissa loppuvuoden 2025 ja alkuvuoden 2026 aikana ollutta haavoittuvuutta. Tässä tietoturva-aukossa pelkkä hyökkääjän toimittaman haitallisen koodikansion avaaminen riitti sallimaan koodin suorittamisen taustalla ilman järjestelmän varoituksia. Toisena reittinä tutkitaan hyökkääjien tarjoaman TestFlight-lompakkosovelluksen lataamista.
Varsinaisena hyökkäyspäivänä rikolliset manipuloivat Driftin hintasyötteitä itse luomallaan ja pesukaupalla paisuttamallaan CarbonVote Token -valuutalla. Tämän valekomponentin avulla he huijasivat järjestelmän luulemaan heillä olevan satojen miljoonien edestä vakuuksia, minkä turvin he pystyivät nostamaan kymmeniä miljoonia oikeita USDC- ja JLP-varoja protokollasta vain 12 minuutin sisällä 31 erillisen siirron avulla.
Vaikutukset ja laajuus
Drift-hyökkäys on toiseksi suurin Solanan historiassa vuoden 2022 Wormhole-tietomurron jälkeen. Alustan oman DRIFT-tokenin arvo laski välittömästi yli 40 prosenttia tapahtuneen jälkeen. Koska kyseessä on yksi Solanan keskeisimmistä likviditeetin lähteistä, isku synnytti merkittävän dominoefektin.
Markkinapaniikki sai sijoittajat vetämään varojaan pois verkosta, mikä johti valtaviin likvidointeihin. Yli 20 miljoonan dollarin edestä ostopositioita suljettiin automaattisesti vakuuksien arvon romahdettua. Tämän lisäksi vaikutukset säteilivät suoraan yli 20 muuhun hajautetun rahoituksen protokollaan. Esimerkiksi Prime Numbers Fi -palvelu koki mittavia tappioita, koska se nojasi suoraan Driftin tarjoamaan likviditeettiin strategioissaan. Koko Solana-ekosysteemistä katosi lyhyessä ajassa lähes miljardi dollaria lukittua arvoa, ja SOL-kryptovaluutan hinta laski yli viisi prosenttia sijoittajien säikähtäessä.
Tutkinnan eteneminen ja jatkotoimet
Drift Protocol on tällä hetkellä jäädyttänyt kaikki protokollan toiminnot ja poistanut vaarantuneet avaimet järjestelmästään. Hyökkääjän lompakko-osoitteet on liputettu ja asetettu estolistalle useimmissa kryptovaluuttapörsseissä ja siltaprotokollissa.
Riippumattomat lohkoketjututkijat ja turvallisuusasiantuntijat jatkavat varojen jäljittämistä. On-chain-tutkija ZachXBT on esittänyt julkista kritiikkiä vakaavaluuttayhtiö Circleä kohtaan, koska yhtiö ei ehtinyt jäädyttää varastettuja varoja ennen kuin hakkerit siirsivät ne Ethereum-verkkoon. Drift on kiittänyt yhteistyöstä lukuisia tietoturva-asiantuntijoita, joiden joukossa ovat muun muassa tayvano_, tanuki42_, pcaversaccio ja bax1337. Laiteanalytiikka ja rikostutkinta jatkuvat yhä, ja lisätietoja teknisistä yksityiskohdista on luvassa analyysin valmistuttua.
Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.
Kryptouutiset.net ei vastaa kaupallisen tiedotteen sisällöstä.
Coinmotion kutsukoodi on qayp1ovzrbk5r1kep1lk jolla saat -50% kaupankäyntikuluista 1kk ajaksi
