Drift被 взломан: как инцидент в области эксплуатации изменил оценку рисков в DeFi

Код работает нормально, проблема была в людях

Drift на этот раз потерял 280 миллионов долларов, и снова подтвердил старую истину: проверенный аудитом код не спасает от взлома со стороны человека. Официально уже подтверждено, что в самом контракте нет уязвимостей; проблема была в том, что мультиподпись (multisig) оказалась скомпрометирована — вероятнее всего, это была атака через социальную инженерию — злоумышленники получили администраторские права с durable nonce.

По цене: за несколько часов DRIFT упал с $0.07 до $0.041, максимальная просадка около 40%. Но куда важнее реакция SOL: он упал всего примерно на 5%, а затем удержался возле $79. Рынок всё расставил по местам: «какой-то протокол взломали» и «у Solana системная проблема» — это разные вещи.

Вокруг этой истории спор какое-то время сильно сбился с курса. Критики трактовали это как доказательство архитектурных недостатков Solana; сторонники возражали, что мультиподпись при компрометации на Ethereum тоже встречается довольно часто. Ни те, ни другие не попали в суть. Анализ SlowMist нашёл коренную причину: Drift недавно переехал на схему 2/5 multisig, но не включил временную блокировку; две ключевые части оказались у атакующего — и он мог сразу выполнить авторизацию.

Сама атака была довольно профессиональной. Подделка токенов, манипуляции с оракулами, поэтапное выкачивание казны — очевидно, это было согласованное действие, подготовленное за несколько недель, а не внезапный порыв. 11 протоколов были вынуждены приостановить выкупы, Ranger Finance понёс потери примерно на $900K. Но опасной цепной реакции, о которой все переживали, не случилось: TVL Solana пострадал, но краха не было.

Несколько моментов, которые нужно прояснить:

• Винить архитектуру Solana — это неправильно выбранный объект. Конфигурация multisig сделана недостаточно корректно — такую атаку можно воспроизвести на любой цепочке. Ключ в том, какие изменения внедрят на практике: администраторские операции обязательно должны проходить через time lock.
• Краткосрочные средства уходят в стейблкоины — это нормально. Но DRIFT по $0.041 мог быть оценён слишком пессимистично; условие — если разбор Drift и дальнейшие меры будут достаточно прозрачными.
• Сегмент инфраструктуры безопасности напрямую выиграет. Протоколам нужно обновлять систему операционной поддержки, и поставщики услуг, которые внедряют time lock multisig, аппаратные кошельки, управление ключами и мониторинг, получат больше заказов.

Общественное обсуждение сфокусировалось на споре о техническом пути публичных сетей, но на самом деле оно игнорирует настоящую проблему: пробелы в управлении и эксплуатации. Этот урок в том, что DeFi нужна более сильная защита администраторов; протоколы, которые первыми перейдут на time lock multisig и аппаратные подписи, получат преимущество в премии за риск.

Страхи о «заражении» в основном — шум

Громкие заявления вроде «Solana всё, конец» очень заметны, но ончейн-данные не поддерживают этот вывод: не было масштабного бегства; SOL быстро стабилизировался. Обсуждения в соцсетях в итоге примерно на две трети сместились в сторону безопасности администрирования и проблем процессов, а не цепной паники на уровне сети.

Атака произошла в период с более низкой ликвидностью, из-за чего сильнее проявилась волатильность цены DRIFT. В тот же период BTC и ETH вели себя спокойно, что показывает: это не системный риск для всего рынка.

Смотреть вперёд: Drift сотрудничает с правоохранительными органами; часть средств, вероятно, может быть возвращена через этап заморозки — оценивается вероятность возврата «на пятьдесят на пятьдесят», то есть 50/50. Протоколы, которые воспримут это как сигнал к улучшению безопасности, выиграют; проекты, которые проигнорируют урок, и дальше будут подвергаться атакам такого же типа.

В целом: это тяжёлый удар для Drift и для протоколов с глубокой интеграцией, но не для Solana или DeFi в целом. Это снова доказывает, что самой уязвимой частью системы чаще всего оказывается человек. На этот раз рынок разобрался в этом быстрее, чем общественная дискуссия.

**Итог: ** нарратив о переоценке операционной безопасности всё ещё находится на ранней стадии. Максимальные преимущества у строителей и поставщиков инфраструктуры безопасности; затем у средне- и краткосрочных трейдеров, которые умеют выявлять и делать ставку на раннее внедрение time lock multisig/аппаратных подписей; пассивно удерживающие и фонды, которые не меняют рамки риск-менеджмента, находятся в худшем положении.