Solana Drift Protocol, 가짜 토큰 및 거버넌스 탈취를 통해 $285M 유출
발행: (2026년 4월 4일 AM 02:29 GMT+9)
8 분 소요
원문: Hacker News
Source: Hacker News
번역을 진행하려면 번역하고자 하는 전체 텍스트를 제공해 주세요. 현재는 소스 링크만 포함되어 있어 번역할 내용이 없습니다. 텍스트를 복사해서 보내주시면 바로 한국어로 번역해 드리겠습니다.
개요
공격자들은 $285 million을 Drift Protocol, Solana의 가장 큰 영구 선물 거래소에서 2026년 4월 1일에 탈취했습니다. 이 악용은 스마트‑컨트랙트 코드를 목표로 하지 않고 거버넌스를 노려, 가해자들이 프로토콜의 Security Council을 장악하고 거의 20개의 금고에서 자산을 인출할 수 있게 했습니다.
공격 타임라인
| 날짜 | 이벤트 |
|---|---|
| 3월 11일 | 10 ETH가 Tornado Cash에서 인출되어 허구의 **CarbonVote Token (CVV)**을 배포하는 데 사용되었으며, 약 7억 5천만 개를 발행했습니다. |
| 3월 23일 – 3월 30일 | 다수의 “durable nonce” 계정을 생성했습니다. Durable nonce는 트랜잭션을 사전 서명하고 만료되지 않은 상태로 나중에 실행할 수 있게 하는 Solana 기능입니다. |
| 3월 27일 | Drift 보안 위원회가 제로 타임락이 적용된 새로운 2‑of‑5 멀티시그로 이전했으며, 악의적인 관리자 행동을 감지할 수 있었던 지연을 제거했습니다. |
| 4월 1일 | 실행: CVV가 시장에 상장되고, 출금 한도가 극단적으로 상승했으며, 약 20개의 금고에서 자금이 탈취되었습니다. |
| 4월 3일 | Drift는 도난당한 ETH를 보유한 네 개의 지갑에 온‑체인 메시지를 게시하여 대화를 촉구했습니다. |
익스플로잇 메커니즘
- Fake Token Creation – 공격자는 CarbonVote Token (CVV) 를 발행했으며, 이는 완전히 허구의 자산으로, Raydium에 몇 천 달러 규모의 작은 유동성 풀을 심었습니다.
- Price Manipulation – 워시 트레이딩을 통해 $1에 근접한 인위적인 가격 히스토리를 구축했습니다. Drift의 오라클이 이 조작된 가격을 받아들여 CVV가 정당한 담보처럼 보이게 했습니다.
- Durable Nonce Abuse – 여러 개의 durable nonce 계정을 생성했습니다. 사회공학 기법으로 Drift Security Council 멀티시그 서명자들을 설득해 일상적인 것처럼 보이지만 숨겨진 권한이 포함된 트랜잭션을 사전 서명하게 했습니다.
- Governance Hijack – 3월 27일 보안 위원회가 제로 타임락, 2‑of‑5 임계값으로 마이그레이션하면서 모든 안전 지연이 사라졌습니다.
- Fund Extraction – 4월 1일, 공격자는 CVV를 시장에 상장하고 인출 한도를 높여 자산을 전부 빼냈습니다. 도난당한 자산은 USDC와 SOL로 변환된 뒤 Circle의 Cross‑Chain Transfer Protocol (CCTP) 를 통해 이더리움으로 브리지되어 약 129,066 ETH를 얻었습니다. SOL 예치는 HyperLiquid와 Binance로 이동되었습니다.
“실제 목표는 이제 인간입니다: 코드 익스플로잇보다 사회공학과 운영 보안(OPSEC) 취약점이 더 큰 표적입니다.” – Lily Liu, Solana Foundation 회장
사후 결과 및 영향
- TVL 붕괴 – Drift의 총 잠금 가치가 약 $550 M에서 $252 M으로 감소하여 자산의 절반 이상이 사라졌습니다.
- DRIFT 토큰 – 가격이 약 40 % 하락했습니다.
- 연쇄 효과 – 약 20개의 상호 연결된 DeFi 프로토콜이 노출을 보고했습니다:
- PiggyBank_fi: 약 $106 k 노출, 팀 자금으로 충당되었습니다.
- Ranger Finance: 입금이 일시 중지; 노출액 >$900 k.
- Jupiter Exchange: JLP 풀은 완전히 지원됩니다.
- 2026년 최대 DeFi 해킹 – $285 M 규모로 올해 가장 큰 DeFi 해킹이며, 2022년 $326 M Wormhole 브리지 해킹에 이어 Solana에서 두 번째로 큰 해킹입니다.
출처
- TRM Labs와 Elliptic은 이 공격이 “북한 해커에 의해 수행된 가능성이 높다”고 평가했으며, DPRK 지원 작전과 일치하는 온‑체인 단계 패턴을 인용했습니다.
- 이 패턴은 2022년 Ronin Bridge 해킹 및 2025년 Bybit 해킹과 같은 이전 북한 활동을 반영합니다.
- Ledger CTO인 Charles Guillemet는 $1.4 B 규모의 Bybit 해킹과 유사점을 언급하며, 멀티시그 서명자 기계에 대한 장기적인 침투를 시사했습니다.
“북한은 2025년에 약 $2 billion에 달하는 암호화폐를 탈취했으며, 이는 해당 연도에 도난당한 모든 디지털 자산의 약 60 %에 해당합니다.” – Chainalysis
Audits and Governance Weaknesses
- Trail of Bits가 2022년에 Drift를 감사했으며, ClawSecure는 2026년 2월에 감사를 수행했습니다. 두 감사 모두 이번 공격에 이용된 거버넌스 취약점을 식별하지 못했습니다.
- CVV 시장 도입과 제로‑타임락 Security Council 마이그레이션은 코드‑중심 감사 범위에 포함되지 않았습니다.
“몇 천 달러에 불과한 가짜 유동성이 $285 million(2억 8500만 달러)의 도난 자산으로 이어졌습니다. 공격자는 버그를 찾은 것이 아니라 토큰을 만들고, 가격을 조작하고, 서명자를 사전에 거래를 승인하도록 속이고, 타임락을 제거한 뒤 실행했습니다.” – Artem Safonov, Threat Analyst at AnonHaven
References
- 북한 암호화폐 작전
- Drift 프로토콜 발표 (via X)
- Lily Liu (Solana Foundation), Charles Guillemet (Ledger) 및 기타 인용된 전문가들의 진술.