Drift на 1 апреля был украден более 2,8 миллиарда долларов: взлом или внутренний злоумышленник

Шоу, Golden Finance

4 апреля, на платформе деривативных торгов Drift Protocol произошёл инцидент с безопасностью; по данным цепочки, потери превысили 285 миллионов долларов. Проект заявил, что обнаружил аномальную активность и проводит расследование; пользователям рекомендовано пока не вносить средства в протокол и подчеркнули: «это не шутка ко Дню дурака».

Этот инцидент затронул несколько пулов ликвидности, включая JLP Delta Neutral, SOL Super Staking и BTC Super Staking и другие. За один раз было переведено примерно 41,7 миллиона токенов JLP на сумму около 155 миллионов долларов; кроме того, были выведены активы, такие как SOL, USDC, cbBTC и wBTC.

По статистике, этот инцидент может стать одним из крупнейших DeFi-атак в истории экосистемы Solana после эксплойта моста Wormhole.

1. Последние новости по инциденту с атакой на Drift Protocol

По времени Восточного побережья США, 1 апреля 2026 года, децентрализованный протокол деривативов Drift Protocol в экосистеме Solana подвергся крупной хакерской атаке; похищенные активы составили около 285 миллионов долларов. Основные похищенные активы — примерно 41,7 миллиона токенов JLP на сумму 155,6 миллиона долларов; а также различные активы, включая USDC, SOL, cbBTC, wBTC и другие. Этот инцидент стал одним из крупнейших по масштабу в истории Solana (вторым по величине) и крупнейшей в истории DeFi-атаки.

Затем официальная страница Drift Protocol опубликовала сообщение в соцсетях, подтвердив: «Drift Protocol подвергается атаке. Функции депозита и вывода приостановлены. Мы сотрудничаем с несколькими организациями по кибербезопасности, кроссчейн-мостами и биржами, чтобы полностью взять ситуацию под контроль. Это не шутка ко Дню дурака. Больше информации будет опубликовано в этом аккаунте в первую очередь».

Атака началась в ночь на 2 апреля. Платформа мониторинга on-chain PeckShield отправила тревогу: главный адрес хранилища Drift начал массовые переводы на новый созданный кошелёк HkGz4K. В первой партии вывода в основном были токены JLP (Jito Liquidity Provider) на сумму около 155 миллионов долларов; затем — USDC, SOL, cbBTC, wBTC, WETH и часть мем-монет. Данные PeckShield показывают, что за короткое время суммарный отток активов достиг 285 миллионов долларов.

Согласно мониторингу Yu Jin, активы Drift на сумму 285 миллионов долларов, которые были украдены, уже конвертированы в 129 000 ETH (278 миллионов долларов). За последние несколько часов злоумышленник различными способами продал эти активы и перевёл их через кроссчейн на цепочку Ethereum, затем на цепочке Ethereum приобрёл ETH. Сейчас активы, украденные на Solana на сумму 285 миллионов долларов, уже на цепочке Ethereum превращены в 129 066 ETH.

Кроме того, команда по безопасности SlowMist сообщила в соцсетях, что похищенные средства в основном сосредоточены по следующим адресам Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, всего: 105 969 ETH (около 226 миллионов долларов).

Хакерские адреса:

2. Анализ атаки на Drift Protocol: «присмотрел и украл» со стороны проекта?

Эта атака — тщательно спланированная комбинация взлома с использованием прав доступа и манипуляций ценами, основная идея в том, что злоумышленник, получив права администратора, подделал токены и управляя оракулами, мгновенно превысил лимиты по средствам и разграбил казну протокола. Злоумышленник, получив приватный ключ администратора, отключил ключевую систему контроля рисков (лимит на вывод), затем с помощью фальшивых залогов массово снял средства из пулов и через кроссчейн провёл отмывание.

В ответ на инцидент, в результате которого активы были похищены, основатель SlowMist Юй Синь опубликовал разбор, в котором указал, что за неделю до атаки Drift изменил механизм мультиподписей на «2/5» (один старый подписант + четыре новых) и не установил таймлок (timelock). Затем злоумышленник получил права администратора, подделал токены CVT, манипулировал оракулами, отключил механизмы безопасности и перевёл из пулов активы высокой стоимости.

Соучредитель Chaos Labs Омер Голдберг также написал в соцсетях, что за неделю до этого Drift был перенесён в новый мультиподписной кошелёк, созданный одним из подписантов исходного мультиподписного набора. При этом этот подписант не добавил себя в новый список подписантов. Злоумышленник инициировал предложение в старом мультиподписном кошельке, передав права администратора в этот новый кошелёк. В новом мультиподписном кошельке 5 подписантов: только один из них — из исходной команды, остальные — полностью новые адреса. Кошелёк настроен на порог 2/5, без таймлока (0 секунд задержки). Около 5 часов назад единственный исходный подписант с помощью нового мультиподписного кошелька инициировал предложение, изменив права администратора Drift. Один из новых подписантов подписал за секунду, мгновенно достигнув порога 2/5. Поскольку задержки не было, транзакция выполнена сразу.

Учитывая текущие доказательства в цепочке, действия команды, направления движения средств и другие факторы, вероятность сценария «присмотрел и украл» действительно является наиболее обсуждаемым и подозрительным в сообществе, даже более логичным, чем «внешний взлом». Ранее официальный проект изменил механизм мультиподписей, сделав структуру прав слишком «удобной для атаки», что больше похоже на преднамеренное действие; методы атаки «слишком хорошо знают внутреннюю логику», что не похоже на стиль внешних хакеров; а реакция официальных лиц на такую крупную кражу была необычно спокойной. После кражи движение средств было очень прозрачным: быстро конвертировали в ETH и провели кроссчейн, при этом не было потоков на централизованные биржи, подверженные заморозке. Всё это вместе вызывает сильные подозрения, что Drift — «присмотрел и украл» именно внутри команды.

3. Реакции сторон и криптосообщества

После инцидента с кражей активов Drift Protocol реакции участников и криптосообщества разошлись:

• В случае с потерями по позиции JLP в рамках DeFi-протокола Drift, сумма составила около 155,6 миллиона долларов. В связи с этим официальный аккаунт Jupiter заявил, что платформа не пострадала: их кредитный продукт Jupiter Lend не связан с рынком Drift, а активы JLP «полностью обеспечены базовыми активами». Также Jupiter отметил, что для экосистемы Solana DeFi это был «тяжёлый день», выразив обеспокоенность командой Drift и пострадавшими пользователями.

• Протокол доходного генерации Unitas Protocol в твиттере сообщил, что их проект не пострадал от атаки на Drift. В Unitas нет никаких экспозиций. Все залоги в безопасности, все стратегии (включая стратегию JLP Delta Neutral) работают нормально. Средства пользователей в безопасности. Обеспечения можно проверить через дашборд доказательств резервов Accountable и Primus Labs.

• Протокол ликвидности Solana Meteora заявил, что все средства на платформе Meteora в безопасности, все функции и хранилище не взаимодействовали с протоколом Drift.

• Основатель инфраструктуры стейблкоинов Perena Anna сообщила, что их Perena USD*, USD*-J и USD*-P не пострадали от инцидента. Однако хранилище JLP, управляемое платформой Neutral Trade для квантовых стратегий в экосистеме Solana, было затронуто, так как работает на базе Drift Protocol. Команда поддерживает связь с партнёрами и будет продолжать обновлять информацию.

• Пользователь X @hzkj99: В экосистеме SOL активы протокола Drift Protocol были украдены, потери — на сумму более миллиарда. Всякий раз, когда речь идёт о средствах, безопасность — главный приоритет. Особенно в медвежьем рынке обязательно появятся новые протоколы, которые тоже могут быть украдены. Этот мир — огромная самодельная сцена, некоторые протоколы могут быть украдены даже несколько раз, и Drift — не последний.

• Пользователь X @lanhubiji: Drift Protocol подвергся серьёзной уязвимости, потери составили около 270 миллионов долларов — один из крупнейших случаев DeFi-атаки в 2026 году. В некоторых постах даже шутливо пишут: «Фонд Solana сейчас координирует откат с сервером в подвале Toly (сооснователя)». Хотя это шутка, но так говорить — уже перебор.

• Пользователь X @EnHeng456: В медвежьем рынке нужно быть очень осторожным с хранением средств. Сейчас ситуация становится всё опаснее: повсюду новости о кражах. Даже старые протоколы в медвежий рынок сталкиваются с проблемами. Тебе трудно понять — это атака хакеров или «присмотрел и украл». Я стал очень осторожен, держу всё в USD1, не рискую хранить где попало. В такой ситуации чем больше метаться, тем больше рисков; иногда лучше ничего не делать — это самый безопасный вариант. Drift украли на 200 миллионов долларов, и эти деньги попали в карман руководства.

4. Влияние инцидента с кражей Drift Protocol

Инцидент с кражей 285 миллионов долларов у Drift Protocol — вторая по масштабам DeFi-атака в истории экосистемы Solana. Его последствия значительно превосходят сам протокол: сильно ударили по доверию к экосистеме Solana и ускорили развитие мер по обеспечению безопасности в DeFi.

Эта атака выявила критические недостатки в управлении правами мультиподписей и в безопасности оракулов в DeFi-проектах. Права — это и есть хранилище; если приватные ключи администратора скомпрометированы и отсутствуют механизмы аварийного торможения вроде таймлок, любая сложная логика кода может мгновенно выйти из строя. Для Drift Protocol это означает, что без возврата украденных средств или привлечения крупного покупателя, протокол может столкнуться с ликвидацией, банкротством и судебными разбирательствами. Для Solana и её экосистемы это — серьёзный удар по репутации: в краткосрочной перспективе — отток средств, замедление роста; в долгосрочной — необходимость усиления мер безопасности и перехода на новые уровни защиты. А для всей индустрии DeFi это — переломный момент: «безопасность прав доступа важнее, чем безопасность кода» становится правилом. Стоимость доверия резко возрастает, и DeFi перейдёт в новую фазу — более регулируемую, более прозрачную, более централизованную (с безопасным управлением).