Pe 1 aprilie 2026, utilizatorii platformei Drift Protocol s-au trezit cu o surpriză pe care nu o puteau atribui unui banc de Ziua Păcălelilor: $286 de milioane dispăruseră din protocol în exact 12 minute. Operațiunea fusese pregătită șase luni. Execuția a durat cât un episod din serialul tău preferat — fără reclamă.
Atacul asupra Drift Protocol rămâne cel mai mare jaf din finanțele descentralizate (DeFi) al anului 2026 și al doilea ca mărime din întreaga istorie a blockchain-ului Solana. Autorii? Un grup de hackeri nord-coreeni înregimentați în structura de stat a Phenianului, cunoscuți în nomenclatorul securității cibernetice globale drept Lazarus Group, UNC4736, Citrine Sleet, Golden Chollima sau Gleaming Pisces — după preferința analistului care îi urmărește. Cei de la Phenian preferă să nu comenteze.
Ce este Drift Protocol și de ce conta
Drift Protocol era, la momentul atacului, cel mai mare exchange descentralizat de contracte futures perpetue de pe blockchain-ul Solana. Spre deosebire de exchange-urile clasice (Binance, Coinbase), Drift opera fără intermediar central: tranzacțiile se desfășurau direct între utilizatori prin contracte inteligente, iar fondurile stăteau în custodia protocolului, nu a unei companii.
La începutul lui 2026, platforma gestiona active în valoare totală de aproximativ 520 de milioane de dolari — ceea ce se numește în industrie Total Value Locked (TVL). Mii de traderi din întreaga lume foloseau Drift pentru a paria pe evoluția prețului Bitcoin, Ethereum sau Solana, cu sau fără efect de levier. Platforma era auditată, verificată, respectabilă. Tocmai de aceea a fost aleasă.
Cum a funcționat schema: șase luni de teatru, douăsprezece minute de jaf
Povestea nu începe pe 1 aprilie 2026. Începe undeva în toamna anului 2025, când câțiva membri ai echipei de securitate a lui Drift au primit mesaje de la o firmă de trading quantitativ cu un nume plauzibil, o prezentare impecabilă și o propunere atrăgătoare de colaborare.
Firma nu exista.
Timp de șase luni, hackerii nord-coreeni au jucat rolul unei companii serioase de investiții. Au participat la conferințe de blockchain în persoană — cu oameni reali, cu cărți de vizită reale. Au deschis un cont pe Drift și au depus un milion de dolari, capital autentic, pentru a construi credibilitate. Au comunicat profesionist, au propus integrări tehnice și au câștigat, treptat, accesul la cercurile de încredere ale protocolului.
Obiectivul real era simplu: să convingă membrii Consiliului de Securitate al lui Drift să pre-semneze tranzacții care, la momentul respectiv, păreau complet inofensive.
Instrumentul tehnic cheie a fost o funcționalitate mai puțin cunoscută a blockchain-ului Solana numită durable nonces — care permite ca o tranzacție să fie semnată în avans și executată ulterior, oricând. Hackerii au obținut astfel semnăturile administrative necesare fără ca deținătorii acestora să realizeze că semnau, practic, un cec în alb.
Dar semnăturile singure nu ajungeau. Mai era nevoie de ceva cu care să “cumpere” activele reale din protocol. Soluția? Un token fals.
CarbonVote Token: moneda care nu valora nimic dar costa $286 de milioane
În săptămânile premergătoare atacului, hackerii au creat un token pe care l-au numit CarbonVote Token (CVT) și l-au listat pe Raydium, un exchange descentralizat de pe Solana. Au injectat câteva mii de dolari în lichiditate și au efectuat tranzacții circulare — wash trading — pentru a simula activitate și a menține prețul stabil în jurul valorii de 1 dolar.
Urmează mecanismul care explică de ce totul a mers atât de bine: Drift Protocol folosea oracole de prețuri externe pentru a evalua activele acceptate drept garanție (colateral). Hackerii și-au desfășurat propriul oracol de prețuri, conectat la prețul CVT pe care ei înșiși îl controlau. Iar Drift, prin semnăturile administrative obținute anterior, a acceptat CVT ca activ eligibil pentru colateralizare.
Scenariul a devenit trivial: atacatorii au depus 500 de milioane de tokeni CVT în protocol — tokeni pe care îi creaseră din nimic și îi evaluau tot ei la 1 dolar bucata. Pe baza acestei “garanții” de 500 de milioane de dolari, au retras imediat active reale: USDC, SOL, ETH. $286 de milioane. Douăsprezece minute. Gata.
Procesul a fost automatizat. Contractele inteligente au executat tranzacțiile fără nicio intervenție umană din partea protocolului — exact cum au fost programate să facă. Nici o alarmă, nici o pauză, nici o întrebare.
Victimele: cine a rămas cu tokenele
Utilizatorii Drift Protocol sunt, în mare parte, traderi activi de criptomonede — oameni tehnic sofisticați, familiarizați cu riscurile DeFi, cu efectul de levier și cu volatilitatea extremă a piețelor cripto. Nu e publicul care crede că Elon Musk le trimite Bitcoin în schimbul unui screenshot.
Și totuși, mii de astfel de utilizatori s-au trezit pe 1 aprilie 2026 că pozițiile lor fuseseră lichidate forțat sau că fondurile le dispăruseră din conturile de pe platformă. Peste 50% din TVL-ul protocolului s-a evaporat. Tokenul nativ al platformei, $DRIFT, a pierdut peste 40% din valoare în câteva ore — un colaps care a amplificat pierderile celor care dețineau și token-ul, nu doar cei cu fonduri active pe platformă.
Suma totală pierdută, confirmată ulterior de firma de analiză blockchain Elliptic, a fost de $286 de milioane. Drift a anunțat în mai 2026 un plan de recuperare parțială pentru utilizatorii afectați, finanțat din trezoreria protocolului și din fonduri de urgență. Cât din suma pierdută va fi efectiv rambursată rămâne o chestiune deschisă. Planurile de recuperare în DeFi au un palmares neuniform — ca să fim delicați.
Ca notă de subsol: dacă ești trader DeFi și îți evaluezi riscurile, “stat național ostil cu program nuclear activ” probabil nu figura pe lista ta de scenarii adverse.
Firul banilor: de la Solana la Phenian
Imediat după sustragerea fondurilor, hackerii au trecut la faza a doua: spălarea banilor. Aceasta s-a desfășurat cu o viteză și o precizie care sugerează protocoale bine stabilite — nu e prima dată când Lazarus Group face asta.
O parte semnificativă a fondurilor a tranzitat Tornado Cash, mixerul de criptomonede cel mai frecvent utilizat pentru obfuscarea tranzacțiilor pe blockchain. Firma de analiză TRM Labs a identificat și o semnătură temporală sugestivă: tranzacțiile de lansare ale atacului au fost efectuate în intervalul orar corespunzător fusului orar din Phenian — un detaliu tehnic care, alăturat tuturor celorlalte indicii, a dus la atribuirea atacului cu “grad mediu de încredere” grupului nord-coreean UNC4736.
Destinația finală a banilor, potrivit investigatorilor, nu este un cont bancar elvețian al vreunui hacker îmbogățit. Lazarus Group funcționează ca un instrument de stat: fondurile furate din crypto sunt direcționate, potrivit rapoartelor ONU și ale agențiilor de intelligence occidentale, către programul de rachete balistice și de armament nuclear al Coreei de Nord. Fiecare hack DeFi executat de Lazarus Group contribuie, literal, la finanțarea unui arsenal de distrugere în masă.
Autoritățile americane și europene nu au reușit să recupereze fondurile. Investigațiile continuă. Hackerii lucrează la următorul proiect.
Semnalele de alarmă ignorate
Privind retrospectiv — exercițiu favorit al jurnaliștilor și al auditorilor blockchain — există mai multe momente în care cineva ar fi putut trage frâna.
Un token necunoscut acceptat drept garanție. CarbonVote Token nu apăruse în niciun proiect serios, nu avea documentație tehnică solidă, nu fusese auditat de nicio firmă recunoscută. Acceptarea sa ca activ eligibil pentru colateralizare pe o platformă cu $520 de milioane TVL ar fi trebuit să declanșeze un nivel de scrutin mult mai ridicat. Procesul de governance care a aprobat această modificare merită examinat în detaliu — și nu pentru prima dată în istoria DeFi.
Oracle propriu al atacatorilor. Drift Protocol a permis integrarea unui oracol de prețuri neauditat, controlat de aceeași entitate care crease tokenul. Separarea dintre emitentul unui activ și furnizorul prețului acelui activ este un principiu elementar de securitate în DeFi. Când aceeași mână controlează ambele capete ale tranzacției, integritatea întregului sistem devine vulnerabilă. Este un principiu cunoscut de ani buni în industrie. Aplicarea lui rămâne, aparent, opțională.
Tranzacțiile pre-semnate fără verificare suficientă. Durable nonces sunt o funcționalitate legitimă a Solana, utilă pentru fluxuri de lucru complexe. Dar obținerea de semnături administrative pentru tranzacții care modifică lista activelor eligibile ca garanție ar trebui să implice verificări de identitate riguroase, poate chiar proceduri multi-factor offline. Nici unul dintre membrii Consiliului de Securitate nu a detectat că firmele cu care “colaborau” erau fantome bine construite.
Ingenieria socială nesesizată timp de șase luni. Un milion de dolari depuși pe platformă, prezențe fizice la conferințe, comunicare profesionistă timp de jumătate de an — atacatorii au investit resurse substanțiale tocmai pentru a trece testele informale de verificare. Paradoxal, cu cât un atacator investește mai mult în construirea credibilității, cu atât e mai greu de detectat prin filtre normale. Este, totodată, semnul unui adversar care nu improvizează — ci planifică.
Cert este că niciun sistem de alertă intern nu a identificat că firma de trading quantitativ cu care colaborau era, de fapt, o unitate de hackeri nord-coreeni cu finanțare de stat. Retroactiv, toată lumea vede semnalele. Prospectiv, erau invizibile.
Concluzie: DeFi, Coreea de Nord și iluzia securității descentralizate
Povestea lui Drift Protocol ridică o întrebare mai profundă decât “cine e vinovat pentru că a semnat tranzacțiile greșite”: poate un protocol financiar descentralizat, bazat pe principiul că “codul este lege” și că nu e nevoie de încredere în nicio persoană anume, să reziste unui adversar care investește șase luni și un milion de dolari în construirea acelei încrederi?
Răspunsul, demonstrat pe 1 aprilie 2026, e că nu poate. Cel puțin nu în forma actuală.
Finanțele descentralizate promit eliminarea intermediarilor umani și a riscului asociat. Dar orice protocol trebuie, la un punct, să fie administrat de oameni — iar oamenii pot fi manipulați, induși în eroare, cuceriți prin răbdare și relații construite în timp real. Lazarus Group nu a spart codul lui Drift. A spart oamenii care administrau Drift. Codul a funcționat perfect — exact cum fusese programat de cei care îl controlaseră.
Atacul lui Drift se înscrie într-un pattern mai larg, documentat de ONU: Coreea de Nord a furat, prin operațiuni cibernetice, peste 3 miliarde de dolari în criptomonede între 2017 și 2025. Acești bani nu ajung la cetățenii nord-coreeni. Ajung la programul de rachete balistice intercontinentale și la cel de înarmare nucleară. Este, probabil, cea mai eficientă sancțiune pe care industria crypto a reușit să și-o auto-aplice — finanțând involuntar exact tipul de actor geopolitic față de care democrațiile occidentale încearcă să mențină o barieră.
Pentru cei care continuă să utilizeze platforme DeFi — și vor fi mulți, pentru că randamentele rămân atractive — câteva lecții practice: niciun activ necunoscut nu ar trebui acceptat drept garanție fără audit independent și un proces de governance transparent; oracolele de prețuri trebuie să fie independente de emitentul activului evaluat; și orice entitate care solicită acces administrativ pe o platformă cu sute de milioane de dolari în custodie merită o verificare care merge dincolo de o prezentare PowerPoint și câteva luni de emailuri cordiale.
Cât despre $286 de milioane: sunt, cel mai probabil, folosiți acum la finanțarea unui program de înarmare despre care nimeni, în afara Phenianului, nu știe prea bine câte rachete mai are de fabricat. Autoritățile internaționale investighează. Traderii afectați de pe Drift primesc poate câteva procente din pierderi, dacă planul de recuperare merge conform promisiunilor.
E, totuși, 1 aprilie. Ce te-ai fi așteptat?
