Эксплойт Drift вызывает на цепочке обращения к $280M украденному ETH после атаки на Solana–Ethereum

После крупной атаки на DeFi Drift Protocol начал прямые обращения по поводу дрейф-эксплойта, пока следователи отслеживают средства по нескольким блокчейнам.

Drift нацеливается на кошельки хакера сообщениями в ончейне

3 апреля Drift Protocol усилил ответ на недавний взлом, отправив сообщения в ончейне на четыре Ethereum-кошелька, где сосредоточена основная часть похищенных активов. Согласно данным блокчейна, эти адреса вместе контролируют примерно 129,000 ETH — с чем связано одно из крупнейших DeFi-эксплойтов 2026 года.

Эксплойт оценочно вывел из протокола от $270 million до $285 million, серьезно нарушив условия торговли и ликвидности. Однако теперь команда заявляет, что выявила ключевые стороны, связанные с инцидентом, и публично призывает их вступить в диалог, а не оставаться в молчании.

Обращение было сделано с известного адреса, контролируемого Drift, который передал стандартизированное сообщение каждому из четырех целевых кошельков. Кроме того, этот шаг сигнализирует о готовности протокола изучать согласованные решения — путь, который другие криптопроекты уже выбирали при предыдущих крупных кражах.

Сообщение призывает к общению через чат Blockscan

Текст сообщения был кратким. Drift сказал владельцам кошельков, что он «ready to speak», и попросил их ответить, используя чат Blockscan — офчейн-инструмент коммуникации, связанный с Ethereum-адресами. Это повторяет случаи из прошлого, когда пострадавшие проекты пытались открыть канал общения с хакерами.

Исторически подобные попытки давали неоднозначные результаты. В некоторых громких взломах диалог приводил к частичному или даже полному восстановлению активов — иногда под ярлыком договоренности «white-hat». При этом в других ситуациях злоумышленники игнорировали сообщения и продолжали перемещать средства, оставляя жертв с небольшой надеждой на возмещение.

В данном случае команды по безопасности и провайдеры ончейн-аналитики также проверяют, есть ли в краже и последующих переводах признаки, связанные с организованной киберпреступностью. Однако любая потенциальная атрибуция пока не подтверждена, а в настоящий момент основная задача — отслеживать потоки и сохранять доказательства.

Как взлом обошел смарт-контракты

Эксплойт drift выделяется тем, что он не опирался на традиционную уязвимость смарт-контракта. Вместо этого он использовал системную слабость вокруг Solana durable nonces — легитимной функции, которая позволяет разработчикам заранее подготавливать и подписывать транзакции для последующей отправки.

Атакующий использовал предзаписанные транзакции, созданные за недели до этого, а затем сумел получить частичный контроль над настройкой multisig-управления протокола. Под влиянием этого контроля он отключил или обошел несколько механизмов контроля риска, предназначенных для защиты средств пользователей. В результате, как только защитные меры были ослаблены, хакер смог быстро вывести капитал из нескольких хранилищ в короткой последовательности.

Вся операция развернулась быстро, что привело к потере более половины всей заблокированной стоимости Drift Protocol. Кроме того, этот инцидент подчеркивает, что для защиты DeFi-платформ дизайн управления и управление ключами могут быть столь же важными, как и код контрактов.

Перекрестные переводы и концентрация украденного ETH

После опустошения хранилищ атакующий не оставил активы на Solana. Вместо этого он использовал кроссчейн-инфраструктуру, чтобы перевести средства на Ethereum, конвертировав значительную часть в ETH. Ончейн-данные, которые подчеркивают аналитические фирмы вроде Arkham, показывают, что примерно 129,000 ETH теперь распределены по четырем ключевым кошелькам.

Этот паттерн соответствует более широкой тенденции, когда атакующие используют переводы через кроссчейн-мосты для усложнения отслеживания и восстановления. Однако подобные действия также создают крайне заметные концентрации стоимости, которые можно отслеживать в реальном времени биржам, правоохранительным органам и независимым исследователям.

Несмотря на активный мониторинг, некоторые участники сообщества критикуют, как они воспринимают медленный операционный ответ. В частности, пользователи задавались вопросом, почему некоторые токены или позиции не были заморожены раньше или хеджированы более агрессивно, как только была обнаружена аномальная активность в управлении.

Подозрения в организованной преступности и продолжающееся расследование

Несколько наблюдателей в отрасли высказывали предположения о возможных связях между атакующим и известными организациями киберпреступности — особенно с учетом сложности захвата управления и планирования транзакций. Тем не менее, публичные заявления Drift и внешних команд по безопасности подчеркивают, что на данный момент нет однозначной атрибуции.

Сообщается, что правоохранительные органы и частные группы реагирования на инциденты координируются, чтобы проследить блокчейн по цепочке «on chain message trail» и потоки украденного ETH. Кроме того, следователи изучают историческую активность на затронутых кошельках, чтобы проверить, связывают ли более старые транзакции с ранее отмеченными сущностями.

Пока что Drift обязался раскрыть больше информации, как только будут завершены сторонние аудиты и судебно-аналитические проверки. Социальные каналы протокола, включая его официальный аккаунт X, использовались для сбора обновлений и ссылки на ключевые on-chain-транзакции для сообщества.

Влияние на Drift, токен DRIFT и ликвидность DeFi

Последствия выходят за рамки непосредственных потерь протокола. Недавние данные указывают, что почти 20 взаимосвязанных DeFi-проектов столкнулись с «knock-on effects» от этого инцидента. Некоторые протоколы временно приостанавливали сервисы или ограничивали определенные операции, чтобы предотвратить возможное «заражение» и управлять влиянием на ликвидность в DeFi.

Собственный токен DRIFT резко отреагировал: он показал резкое снижение по мере распространения новостей об эксплойте и компрометации управления. Уверенность в кредитном плече и производных продуктах на Solana также получила удар, что отражает более широкую переоценку рисков как профессиональными, так и розничными трейдерами.

Однако важно отметить, что базовый слой Solana продолжает работать в обычном режиме. Прорыв произошел на уровне приложения и управления, а не из-за сбоя консенсуса или отказа протокола. Этот нюанс имеет значение для долгосрочного восприятия экосистемы и для инвесторов, оценивающих риск смарт-контрактов.

Уроки для управления и дизайна безопасности

Этот взлом показывает, как даже хорошо проверенный код может быть подорван слабостями в структурах управления, обмене ключами и операционных процессах. В данном случае частичный компромисс multisig-управления позволил атакующему «вооружить» ранее подписанные транзакции и легитимные функции протокола.

Эксперты по безопасности утверждают, что более надежные политики ротации ключей, более строгие механизмы контроля доступа и мониторинг действий управления в реальном времени могли бы ограничить ущерб. Кроме того, более четкие incident playbooks и автоматизированные circuit breakers могли бы помочь протоколам реагировать быстрее, когда происходят аномальные изменения в разрешениях или в поведении хранилищ.

Пока расследование эксплойта Drift Protocol продолжается, этот случай, вероятно, станет точкой отсчета для фреймворков оценки рисков и обзоров безопасности по всему DeFi. В целом инцидент подчеркивает: одних аудитов кода недостаточно; устойчивое управление, управление ключами и мониторинг кроссчейна необходимы, чтобы предотвращать подобные крупномасштабные потери.