Het protocol Drift, een gedecentraliseerde exchange voor futures op Solana, werd het doelwit van een geraffineerde aanval waarbij ongeveer 285 miljoen dollar aan gebruikersfondsen werd onttrokken. Dit incident was geen klassieke bug in een smart contract, maar het resultaat van een langdurige campagne van social engineering en misbruik van operationele mechanismen.
Belangrijke elementen in de aanval waren een multisig-schema dat toelaat dat twee van vijf admins transacties autoriseren en het gebruik van durable nonce op Solana om transacties later uit te voeren. Volgens on-chain gegevens werden de uit de keten gehaalde middelen uiteindelijk via bruggen naar Ethereum verplaatst, met ongeveer 129.000 ETH in sommige wallets.
Het team van Drift rapporteerde dat de voorbereiding van de aanval al weken eerder begon, met de creatie van accounts die durable nonces bevatten.
Op 1 april werden grootschalige transfers uitgevoerd nadat minstens twee van de vijf geautoriseerde signatoren waren overtuigd om transacties te ondertekenen. Vervolgens probeerde het team op 3 april via on-chain berichten contact te leggen met enkele Ethereum-adressen die de grootste porties van de gestolen activa beheer(s)den, in een poging tot terugvordering of onderhandeling. Dit patroon — menselijk misbruik van legitieme tools — benadrukt dat niet elke ramp in DeFi door codefouten veroorzaakt wordt.
Indice dei contenuti:
Hoe de aanval functioneerde
Multisig en menselijke kwetsbaarheid
Een cruciaal element in het incident was het multisig-model van Drift: een systeem waarin meerdere sleutelhouders samen transacties moeten goedkeuren. In dit geval was het mechanisme ingesteld op twee goedkeuringen van vijf mogelijke signatoren. Hoewel multisig bedoeld is als een veiligheidslaag, maakte het model het mogelijk dat slechts twee misleide beheerders genoeg waren om catastrofale operaties te autoriseren. Het incident illustreert dat technische controlemiddelen kwetsbaar blijven voor menselijke manipulatie wanneer processen voor verificatie en bewustzijn ontbreken.
Durable nonce en vertraagde uitvoering
Een ander technisch ingrediënt was de functie durable nonce op Solana, die het mogelijk maakt om transacties vooraf te ondertekenen en later uit te voeren zonder dat de handtekening verloopt. Deze feature is legitiem en nuttig, maar in de verkeerde handen geeft ze aanvallers de mogelijkheid om ondertekende transacties op een strategisch moment te presenteren. In Drift’s geval zorgde de combinatie van getekende maar uitgestelde transacties en misleidde admins ervoor dat alarmbellen uitbleven totdat grote bedragen al verplaatst waren.
Waarom blockchain-irreversibiliteit het probleem vergroot
Een kernkenmerk van publieke ketens is de irreversibiliteit van gebeurtenissen: zodra een transactie is opgenomen in een blok, is die in principe definitief. Dat is precies het waardevoorstel van veel blockchains: een onveranderlijke chronologie van gebeurtenissen. Deze onomkeerbaarheid maakt herstel van gestolen gelden extreem complex. Hoewel de gemeenschap in het verleden uitzonderingen heeft gemaakt — bijvoorbeeld met een rollback na het DAO-incident of na een integer overflow in 2010 bij Bitcoin — tonen die precedenten ook aan hoe problematisch en verdeeld zulke ingrepen zijn. Een terugdraaiing betekent immers het wissen van alle transacties tussen nu en het terugkeerpunt, niet enkel van de illegale handeling.
Waarom terugdraaien geen praktische oplossing is
Terugdraaien van de keten zou niet alleen de diefstal ongedaan maken, maar ook duizenden of tienduizenden andere transacties wissen die sinds dat moment zijn gebeurd. Als één blok duizenden transfers bevat, betekent een rollback van meerdere blokken dat evenveel legitieme verrichtingen worden aangetast. Dit is technisch mogelijk in zeer uitzonderlijke gevallen, maar sociaal en economisch onhoudbaar voor reguliere incidenten. Daarom is preventie door betere beveiliging vaak veruit de meest realistische optie.
Gevolgen voor gebruikers en de sector
Voor gebruikers betekent het incident opnieuw een waarschuwing: wie niet wil experimenteren of verliezen incalculeren, kiest best voor veiligere, gecustodial of gereguleerde oplossingen. Voor projecten betekent het een oproep tot strenger risicobeheer: herziening van admin power, strengere off-chain procedures voor verificatie, en het minimaliseren van single points of failure zijn onmisbaar. Centrale entiteiten zoals Circle werden besproken in de nasleep, net als eerdere megaverliezen bij exchanges — zoals het incident bij Bybit — waar ook de vraag rees of ketensituaties moeten worden teruggedraaid. De consensus in de sector lijkt echter dat zulke uitzonderingen zeldzaam en politiek beladen zijn.
Tot slot probeerden sommige teams, waaronder Drift, rechtstreeks met de portefeuillehouders van de geadresseerde wallets te communiceren via on-chain berichten en chats om een deel van de fondsen terug te krijgen. Zulke onderhandelingen leveren soms gedeeltelijke restituties op, maar blijven onzeker. De les is helder: DeFi vereist strengere operationele standaarden dan traditionele banken, omdat de techniek weinig ruimte laat voor herstel na fouten. Versterking van governancemodellen, training tegen social engineering en het herontwerpen van multisig-logica zijn directe aanbevelingen voor projecten die deze risico’s willen beperken.