2.85 миллиардов долларов исчезли! Drift Protocol подвергся атаке, почему защита DeFi оказалась бессильной?

1 апреля 2026 года, День дурака. Децентрализованная платформа для бессрочных контрактов в экосистеме Solana — Drift Protocol — подверглась серьезной хакерской атаке, в результате которой было украдено примерно 2,85 миллиарда долларов, что стало крупнейшей по сумме потерей в истории DeFi в 2026 году.

Это не шутка. Это еще один тяжелый звонок в истории безопасности DeFi.

Как произошла атака?

Атака не была внезапной, она готовилась около восьми дней. Данные в блокчейне показывают, что кошелек злоумышленника был создан 24 марта, он получил начальные средства через межцепочечную систему NEAR Intents и отправил небольшую тестовую транзакцию в хранилище Drift для проверки прав доступа к контракту.

16:00 1 апреля (UTC) — окно атаки открылось официально. Злоумышленник, получив права администратора через мультиподписной кошелек протокола, за час очистил активы в нескольких пулах ликвидности, включая USDC, SOL, cbBTC, WETH, и перевел их через межцепочечные мосты на сеть Ethereum, обменяв примерно на 12,9 тысяч ETH (стоимость около 2,78 миллиарда долларов).

Путь атаки был четким и смертельным:

· Создание фальшивых токенов CVT
· Манипуляции с ценами оракулов
· Отключение систем безопасности
· Вывод ценных активов

Украденные средства были разбросаны по 4 адресам Ethereum, а общий заблокированный объем (TVL) протокола резко снизился с 550 миллионов долларов до примерно 255 миллионов долларов.

Основная причина: отсутствие таймлоков

Ключевой уязвимостью этой атаки стала недостаточная безопасность в настройках мультиподписного управления Drift. В отчете компании SlowMist отмечается, что за неделю до атаки команда Drift изменила механизм мультиподписей на режим «2/5» (один старый подписант и четыре новых), при этом не установила таймлоки (Timelock).

Таймлок — это механизм принудительной задержки, требующий 24-48 часов ожидания после изменений в настройках с правами высокого уровня, что дает сообществу и службам безопасности возможность обнаружить аномалии. Отсутствие таймлоков означает, что при краже приватных ключей новых подписантов или их злоумышленном контроле злоумышленник может сразу же выполнить операции с правами администратора.

Злоумышленник использовал старого единственного подписанта и одного нового подписанта для совместного подписания, чтобы передать права администратора на свой адрес, обходя все меры защиты на уровне пользователей.

Методы злоумышленника: предварительное подписание + социальная инженерия

Атака сочетала в себе технологию предварительного подписания с использованием стойких случайных чисел и продвинутые методы социальной инженерии. С 23 марта злоумышленник создал аккаунты с постоянными случайными числами для двух подписантов мультиподписей и двух аккаунтов, контролируемых им. Он обманом получил предварительное подписание от легитимных подписантов, сохранил его с помощью стойких случайных чисел и 1 апреля массово выполнил операции, получив контроль над правами администратора. В этом инциденте не было утечки мнемонических фраз или уязвимостей в смарт-контрактах.

Реакция отрасли

Ранее Drift Protocol был одним из крупнейших кредитных протоколов в экосистеме Solana, с привлеченными инвестициями свыше 520 миллионов долларов, среди инвесторов — Multicoin Capital, Polychain и другие ведущие венчурные фонды.

После инцидента цена токена Drift резко упала более чем на 40%. В связи с участием активов экосистемы Solana, такие токены как SOL, JUP и другие также испытали значительные падения.

Цена DRIFT снизилась с примерно 0,072 доллара до 0,055 доллара, что уже было примерно на 98% ниже своего пика до инцидента.

Официальный сайт Drift вскоре приостановил все депозиты и вывод средств, подчеркнув: «Это не шутка на День дурака». Кошелек Phantom быстро заблокировал доступ к протоколу.

Более тревожный аспект: возможное участие северокорейских хакеров?

Главный технический директор Ledger Чарльз Гийемет заявил, что использованные в этой атаке методы схожи с атакой на Bybit в 2025 году, которая широко связывается с хакерами, связанными с Северной Кореей. Гийемет отметил, что в данном случае не было уязвимостей в смарт-контрактах, злоумышленники проникли в устройства подписантов мультиподписей, чтобы убедить их одобрить вредоносные транзакции, при этом подписанты могли думать, что они авторизуют легальные операции.

Как защитить свои активы?

· Если вы взаимодействовали с Drift Protocol, немедленно отмените разрешения, через кошелек Phantom можно просмотреть подключенные приложения
· Рассмотрите возможность использования нескольких кошельков для диверсификации рисков, крупные суммы лучше хранить в аппаратных кошельках
· Будьте осторожны с высокодоходными DeFi-протоколами, регулярно проверяйте разрешения смарт-контрактов

Предупреждение о безопасности

Атака на Drift Protocol еще раз доказывает простую истину: самые большие риски в DeFi — это не уязвимости кода, а человеческий фактор. Настройка мультиподписей, управление приватными ключами, аудит процессов подписания — эти «процессы безопасности» важнее, чем аудит кода. Всего за 10 дней до этого Resolv был взломан из-за отсутствия мультиподписей, а Drift, несмотря на наличие мультиподписей, потерпел неудачу из-за слишком низкого порога и отсутствия таймлоков.

Эти два инцидента ясно показывают, что необходимость кардинально пересмотреть архитектуру привилегий становится все более актуальной.