Op 1 april heeft de op Solana gebaseerde gedecentraliseerde perpetuals-beurs Drift Protocol een actieve beveiligingsinbreuk bevestigd die resulteerde in het verlies van ongeveer $280 miljoen aan gebruikersfondsen. Binnen enkele minuten na het detecteren van onregelmatige on-chain transacties schortte het Drift-team alle stortingen en opnames op en mobiliseerde het zijn beveiligingspartners om het incident te beteugelen. Drift's postmortem-rapport onthulde later dat de aanvaller misbruik maakte van een vooraf ondertekend duurzaam nonce-mechanisme om vertraagde transacties zonder detectie uit te voeren. Deze aanpak maakte het mogelijk multisig-handtekenaars te verleiden om goed te keuren wat leek op legitieme beheerdersoperaties, waardoor een onmiddellijke drempeloverschrijving werd getriggerd.

De inbreuk voltrok zich in twee fasen. Eerst verkreeg de exploitant twee van de vijf vereiste handtekeningen op het nieuwe multisig-adres van het protocol, dat enkele dagen eerder was uitgerold als onderdeel van een geplande upgrade. Een bewaard gebleven ondertekenaar uit de vorige multisig-set behield per ongeluk nog toegang, en de aanvaller wist twee extra ondertekenaars te compromitteren via gerichte operationele beveiligingsfouten. Binnen een nul-seconden timelock-venster diende de actor een voorstel in en keurde dit goed om alle activa uit de liquiditeitskluis van Drift — waaronder USDC, wrapped Bitcoin, wrapped Ethereum en andere SPL-tokens — naar een externe portefeuille over te dragen.

Blockchain-analyse door Elliptic en CertiK toonde aan dat de fondsen via Circle's Cross-Chain Transfer Protocol (CCTP) naar Ethereum werden overgezet enkele minuten na het lek. De dreigingsintelligentie van Elliptic markeerde portemonnee-adressen die eerder in verband waren gebracht met Noord-Koreaanse staatsgesponsorde cybercrime-campagnes. Historische exploits door Noord-Korea (DPRK), waaronder de Wormhole-hack van $1,5 miljard in 2022 en het Bybit-incident van $2 miljard in februari 2025, vertonen vergelijkbare gedragingen: afhankelijkheid van duurzame nonces of tijdvertraging-vensters en prioriteit voor hoogliquide stablecoin-stromen.

Belanghebbenden uit de industrie reageerden snel. De Solana Foundation begon met een code-audit van de omgang met duurzame nonces, terwijl Circle legacy-mesh-routingknooppunten pauzeerde om verdere ongeautoriseerde USDC-bruggen te voorkomen. Drift Protocol schakelde wetshandhaving in, waaronder het National Cryptocurrency Enforcement Team van het Amerikaanse Department of Justice, om gestolen activa te traceren op gecentraliseerde en gedecentraliseerde platforms. On-chain-herstelopties blijven beperkt, maar de governance van het protocol heeft een plan voorgesteld voor het terugvorderen van onderpand, gefinancierd door ecosysteemverzekeringspools.

De exploit benadrukt aanhoudende kwetsbaarheden in multisignature-regelingen en het menselijke element in operationele beveiliging. De oprichter van Drift kondigde plannen aan om hardware-gebaseerde sleutelbeheeroplossingen te integreren en multi-party goedkeuringen verplicht te stellen via threshold-signature-schemes (TSS) met verlengde time-locks. Aangezien DeFi TVL's op netwerken meer dan $200 miljard bedragen, dient de Drift-hack als herinnering dat governance-hygiëne en cross-chain-risicobeheersing cruciaal zijn om de gedecentraliseerde financiële infrastructuur te beschermen.