Drift“День дурака” более 280 миллионов долларов украдены: взлом или внутреннее преступление?

Шоу, Jinse财经

2 апреля, на платформе для деривативной торговли Drift Protocol произошёл инцидент безопасности; данные on-chain показывают убытки более чем на 285 миллионов долларов. Сообщается, что команда проекта обнаружила аномальную активность и проводит расследование, предупреждает пользователей не вносить средства в протокол, а также подчёркивает: «Это не шутка на День дурака».

В атаке были задействованы несколько фондов ликвидности, включая JLP Delta Neutral, SOL Super Staking и BTC Super Staking и т. п. Одна транзакция по переводу примерно 41,7 млн токенов JLP на сумму около 155 млн долларов, кроме того, такие активы, как SOL, USDC, cbBTC и wBTC, также были выведены.

По статистике, инцидент может стать одной из крупнейших атак DeFi в экосистеме Solana после масштабного взлома через межсетевой мост Wormhole.

1. Последние обновления о взломе Drift Protocol

По времени Восточного побережья США, 1 апреля 2026 года децентрализованный протокол деривативной торговли Drift Protocol в экосистеме Solana подвергся серьёзной хакерской атаке: украденные активы оцениваются примерно в 285 млн долларов. Основные украденные активы: около 41,7 млн токенов JLP на сумму 155,6 млн долларов; а также различные активы, включая USDC, SOL, cbBTC, wBTC и др. Этот инцидент стал одним из крупнейших атак в истории Solana (второй по величине) и самых масштабных атак в DeFi.

После этого Drift Protocol официально опубликовал сообщение в социальной сети, подтвердив: «Drift Protocol подвергается атаке. Функции депозитов и вывода приостановлены. Мы работаем совместно с несколькими организациями по безопасности, межсетевыми мостами и биржами, чтобы в полной мере взять ситуацию под контроль. Это не шутка на День дурака. Больше информации будет публиковаться в этом аккаунте в первую очередь».

Атака началась ранним утром 2 апреля. Платформа on-chain мониторинга PeckShield выдала предупреждение: основной адрес казначейского хранилища Drift начал осуществлять массовые переводы на только что созданный кошелёк HkGz4K. Первая партия переведённых средств в основном — токены JLP (Jito Liquidity Provider) на сумму около 155 млн долларов, затем — USDC, SOL, cbBTC, wBTC, WETH и часть meme-коинов. По данным PeckShield, за короткое время суммарный отток активов составил 285 млн долларов.

Согласно мониторингу Юйцзинь, активы Drift на сумму 285 млн долларов, которые были украдены, уже конвертированы в 129k ETH (278 млн долларов). За последние несколько часов хакер продал эти активы разными способами и вывел/перебросил их в сети Ethereum, а затем в сети Ethereum купил ETH. Теперь активы в размере 285 млн долларов, украденные на Solana, уже куплены в сети Ethereum — в количестве 129 066 ETH.

Кроме того, команда безопасности SlowMist в сообщении в социальной сети заявила, что на данный момент похищенные средства в основном сосредоточены на следующих адресах Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674、0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7、0xaa843ed65c1f061f111b5289169731351c5e57c1, итого: 105 969 ETH (примерно 226 млн долларов).

Кластер адресов хакера：

2. Разбор атаки на Drift Protocol: «кража у своего сторожа» со стороны команды?

Эта атака — тщательно спланированная комбинация вторжения через полномочия + манипуляции с ценами. Суть в том, что хакер, завладев администраторскими правами, с помощью поддельных токенов и манипуляций с оракулами мгновенно прорвался через лимиты средств и разграбил казначейство протокола. Получив администраторский приватный ключ, хакер отключил ключевой контур управления рисками протокола (лимит на вывод средств), затем использовал фиктивные залоговые активы для массового вывода из пулов средств и завершил отмывание за счёт кроссчейн-переводов активов.

В ответ на инцидент с кражей активов в результате атаки на Drift Protocol, основатель SlowMist Юй Си опубликовал анализ: инцидент с украденными средствами Drift показал, что за неделю до атаки Drift изменил мультиподписной механизм на «2/5» (1 старый подписант + 4 новых подписанта) и не настроил timelock (временную блокировку). Затем атакующий получил администраторские права, подделал токены CVT, манипулировал оракулом, отключил механизмы безопасности и вывёл из пула высокоценные активы.

Сооснователь Chaos Labs Омeр Голдберг также написал в социальной сети, что неделю назад Drift перенёс на новый кошелёк с мультиподписью, причём этот кошелёк был создан одним из подписантов из исходного набора мультиподписей. И этот подписант не добавил себя в новый список подписантов. Атакующий одновременно инициировал предложение в старом мультиподписном наборе, передав администраторские права на этот новый кошелёк. Новый мультиподписной кошелёк имеет 5 подписантов: только 1 человек из них — из исходной команды, остальные 4 — это полностью новые адреса. Кошелёк настроен на порог 2/5 для мультиподписи и не имеет никаких временных блокировок (0 секунд задержки). Ранним утром 2 апреля этот единственный старый подписант через новый мультиподписной кошелёк инициировал предложение о смене прав Drift администратора. Один новый подписант подписал за одну секунду — и сразу было достигнуто пороговое значение 2/5. Поскольку временной блокировки нет, транзакция была выполнена немедленно.

Кроме того, в сообществе ходят слухи, что ключевой участник команды Drift ушёл в отставку за месяц до этого, но это не подтверждено официально, и нет доказательств; на данный момент это лишь предположения/слухи, распространяемые в X (Twitter). Никаких конкретных имён не называются, и ни мейнстрим-медиа, ни официальный Drift это не подтвердили. В мейнстримных новостях и официальных заявлениях Drift вообще не упоминается, что какие-либо члены команды ушли в отставку за месяц до этого.

Тем не менее, возможность «кражи у своего сторожа» действительно является самым обсуждаемым в текущем кругу направлением с наибольшим количеством疑点 (сомнительных моментов), и даже логически это больше похоже, чем «внешнее проникновение хакера». Ранее официально изменили мультиподписной механизм, сделав структуру прав слишком «удобной для атаки», что не похоже на случайность; способ атаки «слишком хорошо понимает внутреннюю логику», совсем не похоже на стиль внешнего хакера, а официальный ответ на кражу таких огромных сумм выглядит необычно спокойным; после кражи потоки средств очень чистые и понятные: быстро конвертировали в ETH и выполнили кроссчейн-операции, при этом не было притока на легко замораживаемые централизованные биржи. Всё это — процесс и логика действий в ходе инцидента. Это и вызвало бурный рост подозрений сообщества в адрес официальной версии Drift о «кражи у своего сторожа».

3. Реакции со стороны заинтересованных сторон и криптосообщества

После инцидента с кражей активов Drift Protocol разные стороны и криптосообщество отреагировали по-разному:

• В событии с кражей активов в DeFi-протоколе Drift потери позиции JLP составили около 155,6 млн долларов. На это Jupiter официально ответил, что платформа не пострадала от этого инцидента: её кредитный продукт Jupiter Lend не связан с рынком Drift, а активы JLP «полностью поддерживаются базовыми активами». Jupiter также отметил, что этот инцидент для экосистемы Solana DeFi — «трудный день», и выразил обеспокоенность команде Drift и пользователям, которые пострадали.

• Протокол генерации дохода Unitas Protocol в твите заявил, что его не затронул инцидент с атакой на Drift Protocol. В Drift у Unitas нет никаких экспозиций. Все залоги безопасны, все стратегии (включая стратегию JLP Delta Neutral) работают штатно. Средства пользователей в безопасности. Залоговые активы можно в реальном времени верифицировать через дашборды доказательств резервов Accountable и Primus Labs.

• DeFi-протокол ликвидности Solana Meteora в твите сообщил, что все средства на Meteora безопасны, а все функции и казначейство платформы не взаимодействовали с протоколом Drift.

• Основатель инфраструктуры стейблкоинов Perena Анна в твите заявила, что её Perena USD*, USD*-J и USD*-P не пострадали от инцидента с атакой Drift. Однако залоговый JLP-кошелёк, который работает в составе количественной стратегии в платформе Neutral Trade (платформа обмена стратегиями), был затронут, поскольку он работает на протоколе Drift; команда поддерживает связь с партнёрами и будет продолжать обновлять прогресс.

• Пользователь платформы X @hzkj99：украли активы протокола Drift Protocol в экосистеме SOL; потери — на сотни миллионов. Всякий раз, когда дело касается средств, безопасность — это первое, особенно в условиях bear market: тогда обязательно появляются новые украденные протоколы. Этот мир — гигантский цирк на колёсиках; некоторые протоколы даже могут быть украдены многократно, а Drift точно не является последним протоколом, у которого украли средства.

• Пользователь платформы X @lanhubiji：Drift Protocol подвергся эксплуатации серьёзной уязвимости; потери — уровень примерно 270 млн долларов, что входит в число крупнейших в DeFi инцидентов с атаками на сегодняшний день в 2026 году. В некоторых постах, весьма серьёзно говорится: «Solana Foundation сейчас координирует откат с серверами в подвале Toly (сооснователь)». Хотя это и шутка, но звучит чересчур.

• Пользователь платформы X @EnHeng456：в bear market действительно нужно хранить деньги очень осторожно и ещё раз осторожно — среда становится всё менее безопасной, повсюду новости о кражах, даже старые протоколы специально ломаются в bear market. Вам очень трудно отличить: это атака хакера или «кража у своего сторожа». Я сам сейчас более консервативный: просто честно держу в USD1 и не рискую снова раскладывать везде. В такой рыночной обстановке чем больше суеты, тем проще получить проблемы. Иногда бездействие — лучший вариант. У Drift украли 129k долларов — и эти деньги уже в кармане «генерала».

4. Влияние инцидента с кражей в Drift Protocol

Инцидент с кражей 285 млн долларов в Drift Protocol — вторая по величине DeFi-атака в истории экосистемы Solana. Её влияние выходит далеко за рамки самого протокола: это сильно подрывает доверие к экосистеме Solana и ускоряет преобразования в области безопасности DeFi.

Эта атака вскрыла фатальные недостатки DeFi-проектов в управлении правами мультиподписи и безопасности оракулов. Полномочия — это «казначейство»; как только ключи администратора окажутся скомпрометированы и отсутствуют механизмы экстренного торможения, такие как timelock, любые сложные логики кода могут мгновенно перестать работать. Для Drift Protocol — если не удастся вернуть украденные деньги или не найдётся «крупный покупатель/переоформитель», протокол пойдёт по пути клиринга, банкротства и судебных разбирательств. Для Solana и её экосистемы — это разрушает репутацию экосистемы: в краткосрочной перспективе происходит отток средств и замедление роста, а в долгосрочной — жёстко подталкивает к обновлению безопасности. А для всего DeFi-отрасли можно сказать, что это своего рода «водораздел» индустрии: «безопасность полномочий важнее безопасности кода» становится железным правилом, стоимость доверия резко растёт, и DeFi перейдёт в новую стадию — более регулируемую, более прозрачную и более централизованную по безопасности (secure governance).