Atak hakerski na Drift wart 285 mln dolarów wynikiem półrocznej operacji socjotechnicznej DPRK

Kiedy 1 kwietnia 2026 roku z protokołu Drift, wiodącej giełdy zdecentralizowanej opartej na sieci Solana, zniknęło 285 milionów dolarów, wielu obserwatorów rynku miało nadzieję, że to jedynie makabryczny żart primaaprilisowy. Rzeczywistość okazała się jednak znacznie mroczniejsza. Jak wynika z najnowszego raportu opublikowanego przez zespół Drift, atak nie był wynikiem nagłego błędu w kodzie czy luki typu zero-day, lecz efektem precyzyjnej, trwającej pół roku operacji inżynierii społecznej przeprowadzonej przez grupy hakerskie powiązane z Koreańską Republiką Ludowo-Demokratyczną (DPRK).

To uderzenie definiuje nową erę cyberzagrożeń, w której technologia blockchain spotyka się z niespotykaną dotąd cierpliwością i przebiegłością aktorów państwowych. Według ujawnionych danych, operacja rozpoczęła się już jesienią 2025 roku, co oznacza, że napastnicy infiltrowali struktury i relacje wokół projektu przez pełne sześć miesięcy przed ostatecznym drenażem portfeli. Skala kradzieży stawia ten incydent w ścisłej czołówce największych exploitów w historii ekosystemu Solana.

Pół roku budowania fałszywego zaufania

Mechanizm ataku na Drift pokazuje, że najsłabszym ogniwem systemów kryptograficznych pozostaje człowiek. Hakerzy z DPRK nie próbowali „wyważyć drzwi” brutalną siłą obliczeniową. Zamiast tego, przez miesiące budowali wiarygodne persony, infiltrując kanały komunikacyjne i nawiązując relacje z kluczowymi deweloperami oraz pracownikami operacyjnymi. Była to „gra długodystansowa”, w której każdy krok był starannie zaplanowany, by uśpić czujność zespołu bezpieczeństwa.

Wykorzystanie inżynierii społecznej na taką skalę sugeruje, że napastnicy posiadali głęboką wiedzę o wewnętrznych procesach giełdy. Raport wskazuje, że operacja rozpoczęta w jesienią 2025 roku polegała na stopniowym pozyskiwaniu uprawnień i dostawań do krytycznej infrastruktury. W świecie DeFi, gdzie decentralizacja ma być tarczą, scentralizowane punkty styku — takie jak komputery pracowników czy klucze administracyjne — stały się głównym celem ataku.

Rola AI i upadek tradycyjnych barier

Analizując kontekst tego włamania, nie sposób pominąć wniosków płynących z Zscaler ThreatLabz 2026 VPN Risk Report. Raport ten, opracowany we współpracy z Cybersecurity Insiders, rzuca światło na to, jak nowoczesne narzędzia zmieniają krajobraz walki z cyberprzestępczością. Kluczowym wnioskiem jest fakt, że sztuczna inteligencja (AI) drastycznie skróciła czas reakcji człowieka na incydenty, a jednocześnie pozwoliła napastnikom na automatyzację procesów, które wcześniej wymagały ogromnych nakładów pracy ręcznej.

W przypadku Drift, AI mogło odegrać kluczową rolę w tworzeniu przekonujących treści phishingowych oraz symulowaniu naturalnych interakcji, co pozwoliło hakerom z DPRK pozostać niewykrytymi przez pół roku. Zdalny dostęp, który kiedyś był uważany za standard operacyjny, stał się — według Zscaler — „najszybszą drogą do naruszenia bezpieczeństwa”. Tradycyjne zabezpieczenia oparte na VPN okazują się niewystarczające w starciu z napastnikami, którzy potrafią przejąć tożsamość uprawnionego użytkownika.

• Data rozpoczęcia operacji: Jesień 2025 roku
• Data ataku końcowego: 1 kwietnia 2026 roku
• Całkowite straty: 285 milionów dolarów
• Główny sprawca: Grupy powiązane z DPRK
• Platforma: Solana (Drift DEX)

Anatomia cyfrowego drenażu

Kiedy napastnicy uzyskali już niezbędne dostępy, sam proces wyprowadzenia środków był błyskawiczny. Wykorzystano luki w strukturze zarządzania płynnością, co pozwoliło na masowe wycofanie aktywów bez natychmiastowego uruchomienia bezpieczników protokołu. Fakt, że atak nastąpił 1 kwietnia, nie był przypadkowy — chaos informacyjny towarzyszący temu dniowi często opóźnia reakcję zespołów technicznych, co w tym przypadku dało hakerom cenne minuty na zatarcie śladów w sieci Solana.

Zastosowanie technik inżynierii społecznej przez DPRK stało się ich znakiem rozpoznawczym w świecie Web3. Zamiast szukać błędów w matematyce smart kontraktów, które są audytowane przez zewnętrzne firmy, napastnicy skupiają się na psychologii. Atak na Drift jest podręcznikowym przykładem tego, jak cierpliwość w zbieraniu danych wywiadowczych przekłada się na gigantyczne zyski finansowe, które — jak podejrzewają analitycy — służą finansowaniu programów zbrojeniowych reżimu.

Konieczność redefinicji bezpieczeństwa DeFi

Incydent ten rzuca wyzwanie całej branży krypto. Jeśli sześciomiesięczna infiltracja może zakończyć się utratą niemal 300 milionów dolarów, to znaczy, że obecne standardy „security-by-design” muszą zostać rozszerzone o rygorystyczne procedury „security-by-human”. Zscaler ThreatLabz słusznie zauważa, że AI zmieniło reguły gry — czas, w którym człowiek mógł zareagować na podejrzane zachowanie w sieci, został zredukowany niemal do zera przez zautomatyzowane skrypty atakujące.

Dla platform takich jak Drift, które operują na wysokowydajnych blockchainach jak Solana, oznacza to konieczność wdrożenia systemów wykrywania anomalii opartych na behawiorystyce, a nie tylko na sztywnych regułach dostępu. Zdalny dostęp do infrastruktury krytycznej musi zostać całkowicie przemyślany, odchodząc od podatnych na ataki VPN-ów w stronę architektury Zero Trust, która nie ufa nikomu — nawet osobom, które przez pół roku wydawały się zaufanymi współpracownikami.

"Atak na Drift to nie był błąd w kodzie. To była porażka zaufania, którą hakerzy z DPRK eksploatowali z chirurgiczną precyzją przez 180 dni."

Skala strat wynosząca 285 milionów dolarów wymusi na ekosystemie Solana i innych sieciach L1 wprowadzenie bardziej restrykcyjnych mechanizmów kontroli wielopodpisowej (multi-sig) oraz systemów "dead man's switch", które mogłyby automatycznie blokować transfery w przypadku wykrycia nienaturalnych wzorców wypłat. Lekcja płynąca z operacji DPRK jest brutalna: w świecie cyfrowych finansów największym zagrożeniem nie jest haker z terminalem, ale "kolega" z komunikatora, który przez pół roku budował z Tobą projekt, czekając na odpowiedni moment, by nacisnąć przycisk.

W obliczu tak wyrafinowanych zagrożeń, jedyną skuteczną strategią staje się całkowita rezygnacja z paradygmatu zaufania na rzecz ciągłej, zautomatyzowanej weryfikacji każdego działania wewnątrz systemu. Finanse zdecentralizowane muszą dojrzeć do poziomu bezpieczeństwa militarnego, jeśli mają przetrwać ataki wspierane przez zasoby państwowe i nowoczesną sztuczną inteligencję.