#DriftProtocolHacked

Drift Protocol, одна из крупнейших децентрализованных бирж perpetuals и спотовых торгов, построенных на блокчейне Solana, был подвергнут одному из самых разрушительных взломов в истории DeFi 1 апреля 2026 года. Команда подтвердила, что инцидент, по их собственным словам, «не является шуткой на 1 апреля». К тому времени, когда пыль немного утихла, оценки общего ущерба варьировались от $200 миллионов до $285 миллионов, что делает его крупнейшим криптовзломом 2026 года и самым разрушительным нападением на DeFi на базе Solana с момента взлома моста Wormhole 2 апреля 2026 года.

Первый признак проблем появился около 18:10 GMT, когда команда Drift зафиксировала необычную активность в блокчейне и предупредила пользователей не вносить средства. Менее чем через час, примерно в 18:58 GMT, команда подтвердила, что активна атака, немедленно приостановила все депозиты и выводы по всей платформе и начала координировать экстренные меры с фирмами по безопасности блокчейна, мостами и централизованными биржами в попытке заморозить или проследить украденные активы.

Механика атаки была сложной, многоступенчатой и тщательно спланированной. Исследователи в блокчейне обнаружили, что злоумышленник тестировал уязвимость как минимум за восемь дней до фактического удара, что указывает на длительный период подготовки и разведки. Основой атаки стал скомпрометированный набор административных ключей Drift. Осталось неизвестным, были ли эти приватные ключи утекшими или результатом компрометации мультиподписей, включающих нескольких подписантов, но результат был одинаковым: злоумышленник получил административный контроль над критическими параметрами протокола.

Обладая административным доступом, злоумышленник выполнил следующую последовательность действий. Во-первых, он создал фальшивый токен под названием CarbonVote Token, сокращенно CVT, и создал фальшивый пул ликвидности для него на Raydium. Путем wash-трейдинга он искусственно завысил предполагаемую цену CVT, чтобы оракул протокола зафиксировал его как легитимный актив с высокой стоимостью. Во-вторых, используя скомпрометированные административные привилегии, он включил CVT в список допустимых залогов в спотовом рынке Drift. Также он использовал эти права для отключения защитных механизмов вывода средств и увеличения лимита займа USDC с стандартных $25 миллионов до $500 миллионов. В-третьих, вооружившись огромным количеством фиктивного CVT-залога, который протокол теперь признавал подлинным, злоумышленник внес его и начал занимать и выводить реальные активы из основного пула кредитования и хранилищ Drift. Это было выполнено примерно через 31 транзакцию в блокчейне с использованием функций протокола, таких как initializeSpotMarket и updateSpotMarketStatus. Общая операция по сливу средств, по сообщениям, заняла около 12 минут от начала до завершения.

Затронутые хранилища включали JLP Delta Neutral, SOL Super Staking и BTC Super Staking, среди прочих. Ворованные активы включали примерно 155,6 миллиона долларов в токенах JLP, 60,4 миллиона долларов в USDC и дополнительные суммы в SOL, JitoSOL, cbBTC и WETH. Общие потери составили примерно 50 процентов от общего заблокированного объема Drift, который до атаки составлял около $540 миллионов.

Злоумышленник не остановился после сливания средств из хранилищ. Средства быстро обменивались через Jupiter, ведущий агрегатор ликвидности Solana. Часть была направлена через кошелек Backpack, который, возможно, содержит KYC-записи, что исследователи отметили как потенциальную зацепку. Активы затем были переведены с Solana на Ethereum, конвертированы в ETH и отмыты через платформы, такие как Hyperliquid и Monero. По последним данным, злоумышленник держит примерно 19 913 ETH, оцененных примерно в $42 миллионов, из которых более $82 миллионов уже считаются отмытыми на момент написания.

Реакция рынка была мгновенной и острой. Токен DRIFT упал на 25–50 процентов в течение нескольких часов после распространения новости. Общий заблокированный объем Drift, который составлял около 311,93 миллиона долларов на DeFiLlama на момент инцидента, резко сократился. Несколько других протоколов с экспозицией на Drift, включая Ranger Finance, Reflect Money, Elemental DeFi и Project0, приостановили свою работу в качестве меры предосторожности из-за взаимосвязанных рисков. Инцидент временно сделал Drift Protocol самым популярным токеном на CoinGecko, поскольку трейдеры и исследователи спешили оценить свою уязвимость.

На 2 апреля 2026 года команда Drift не опубликовала официального отчета о причинах и точных потерях. Фирмы по безопасности дали разные оценки: CertiK оценил ущерб примерно в $136 миллионов, а Arkham Intelligence отслеживал около $285 миллионов украденных активов. Разница, вероятно, связана с разными методологиями подсчета активов на момент кражи и после ликвидации.

Для всех, кто взаимодействовал с Drift Protocol, первоочередной задачей является отмена всех разрешений и прав доступа, связанных с протоколом. Пользователям рекомендуется проверить разрешения в своих кошельках с помощью Jup Portfolio scanner или аналогичных инструментов. Всем, кто держал активы в затронутых хранилищах, следует задокументировать свои позиции и следить за официальными сообщениями Drift о возможных восстановительных мерах или компенсациях.

Этот инцидент ярко напоминает о системном риске, который вносит утечка административных ключей в протоколы DeFi. Даже самые проверенные и испытанные платформы несут в себе риск централизации, если права администратора существуют без адекватных многосторонних тайм-локов. Взлом Drift не был ошибкой в смарт-контракте в традиционном понимании. Это был сбой контроля доступа, позволивший одному злоумышленнику в одностороннем порядке переписать правила протокола в ходе сессии. Пока не будет опубликован полный отчет и не будет установлена цепочка владения скомпрометированными ключами, картина остается неполной.

Ситуация все еще развивается. Восстановление неопределенно.