Эксплуататор Drift Protocol удваивает ставки на Ethereum после вывода $285 миллионов в активы

Атакующий протокола Drift усиливает свои действия по накоплению Ethereum после того, как провёл изощрённую операцию против административных систем протокола и вывел $285 млн из его хранилищ.

Согласно данным, отслеживаемым Lookonchain, злоумышленник потратил миллионы в USDC, чтобы приобрести 130,262 ETH, стоимость которых составляет около $265 млн, за последние сутки.

У эксплуататора @DriftProtocol сейчас только что ушло ещё 2,46M $USDC, чтобы купить 1,195 $ETH.

Теперь они в сумме купили 130,262 $ETH($267M).https://t.co/ZKbh8J7jRR pic.twitter.com/5Z3Jq2X9NM

— Lookonchain (@lookonchain) 2 апреля 2026 г.

На момент публикации Ethereum торговался по $2,038, снизившись примерно на 4% за тот же период, по данным CoinGecko.

Его нативный токен Drift, DRIFT, резко упал до $0.049, потеряв более 30% своей стоимости с момента атаки.

Что случилось с Drift Protocol?

Сначала атаку заметили 1 апреля, когда генеральный директор Helius Мерт Мумтаз предупредил сообщество, что Drift Protocol может подвергаться эксплуатации.

пока не на 100% полностью уверен, но похоже, что drift могут эксплуатировать

следите за своими позициями https://t.co/xaHqJNDHg2

— mert (@mert) 1 апреля 2026 г.

Вскоре после этого PeckShield выявила необычные оттоки, затрагивающие более 15 токенов, подтвердив крупную эксплуатацию. Первоначальные потери оценивались примерно в $270 млн.

Примерно через два часа команда Drift публично признала инцидент в X, приостановив все депозиты и выводы, пока координировалась с компаниями по безопасности, мостами и биржами, чтобы урегулировать ситуацию.

Как была разыграна атака

Согласно последнему обновлению Drift, атакующий нацелился на человеческий и процедурный уровень multisig Security Council — структуры 2-of-5, которая управляет критически важными правами на уровне протокола.

Ранее сегодня злоумышленник получил несанкционированный доступ к Drift Protocol через новую атаку с использованием долговременных nonce, в результате чего быстро захвати́л административные полномочия Security Council протокола.

Это была очень высокотехнологичная операция, которая, судя по всему, включала…

— Drift (@DriftProtocol) 2 апреля 2026 г.

Подготовка

Операция тщательно готовилась в течение нескольких недель. Как отмечает проект, аккаунты durable nonce были созданы в Solana уже 23 марта, чтобы обеспечить отложенное выполнение предподписанных транзакций.

Получив подписи одобрения как минимум от двух из пяти членов Security Council — вероятно, через социальную инженерию или искажение смысла транзакций — атакующий накопил достаточно полномочий, чтобы захватить административный контроль.

В течение этого периода было создано четыре аккаунта durable nonce: 23 марта, два — связанные с существующими членами Security Council, и два — под контролем атакующего.

Когда Drift провёл запланированную миграцию Security Council 27 марта, атакующий адаптировался, создав дополнительный аккаунт durable nonce 30 марта, привязанный к недавно назначенному участнику multisig.

Исполнение

Атака была выполнена 1 апреля — вскоре после того, как команда Drift завершила легитимный тестовый вывод средств из своего фонда страхования.

Злоумышленник отправил две транзакции durable nonce, подписанные заранее, с интервалом всего в четыре слота в сети Solana. Первая транзакция создала и одобрила вредоносный административный перевод, а вторая одобрила и выполнила его.

Получив полный контроль над правами на уровне протокола, атакующий добавил вредоносный актив, снял все заранее установленные лимиты на вывод и вывел средства через примерно 31 транзакцию за около 12 минут.

Затронутые средства включают депозиты в пулах borrow-and-lend, депозитные средства в хранилищах (vaults) и активы, удерживаемые для торговли.

Drift подтвердил, что фонд страхования и токены DSOL, которые не были внесены напрямую на платформу, включая активы, размещённые в валидаторе Drift, остались незатронутыми.

Финансовые последствия

До эксплуатации у Drift Protocol был общий объём средств, заблокированных в протоколе (TVL), превышающий $550 млн, что делало его одним из крупнейших DeFi-приложений Solana, согласно DeFiLlama.

На пике TVL Drift Protocol достигал $1,3 млрд. После атаки TVL рухнул примерно до $247 млн.

Токен DRIFT, который торговался выше $0.07 до взлома, упал примерно до $0.04, что отражает снижение на 42% в течение 24 часов. Его рыночная капитализация сократилась примерно с $41 млн до $25 млн.

Эксплуатация также затронула примерно 11 downstream-протоколов. Например, Ranger Finance столкнулся с оценочным риском в $900,000.

Что такое Drift Protocol?

Основанный в 2021 году, Drift отличает себя от централизованных бирж тем, что работает полностью в блокчейне Solana, гарантируя, что средства пользователей остаются под их собственным контролем.

В сентябре 2024 года компания привлекла $25 млн в раунде Series B под руководством Multicoin Capital, при дополнительном участии Blockchain Capital, Primitive Ventures и Folius Ventures.

Сооснователь Синди Леоу стремится сделать Drift «Robinhood’ом крипто», создавая интегрированный набор финансовых сервисов, который включает спотовую и деривативную торговлю, а также рынок прогнозов.

                    **Раскрытие информации:** Эту статью отредактировала Вивиан Нгуен. Для получения дополнительной информации о том, как мы создаём и проверяем контент, см. нашу редакционную политику.