Drift був зламаний: як одна операційна аварія може переосмислити цінування ризиків у DeFi

Код усе гаразд, проблема була в людях

Drift цього разу втратив 280 млн доларів, і це знову доводить стару істину: аудитований код не рятує від зламань, якщо ламають людей. Офіційно підтверджено, що в самому контракті немає вразливостей, а проблема — в компрометації мультипідпису: імовірно, це була атака через соціальну інженерію — зловмисник отримав права адміністратора для durable nonce.

За ціною: протягом кількох годин DRIFT впав з $0.07 до $0.041, максимальна корекція — близько 40%. Але ще важливіше реакція SOL: він просів лише приблизно на 5%, а потім стабілізувався біля $79. Ринок усе розділив чітко: «певний протокол зламали» і «в Solana є системна проблема» — це різні речі.

Навколо цієї історії дискусії деякий час збилися з правильного напряму. Критики трактували це як доказ дефектів в архітектурі Solana; прихильники заперечували, що компрометації мультипідписів на Ethereum теж трапляються. Обидві сторони не потрапили в суть. Аналіз SlowMist знайшов першопричину: Drift нещодавно перейшов на мультипідпис 2/5, але не ввів таймлок, тож дві ключі, потрапивши до рук атакувальника, дозволяли одразу виконати авторизації.

Ця атака сама по собі була доволі професійною. Підробка токенів, маніпуляції з оракулами, поетапне «відкачування» скарбниці — очевидно, це були узгоджені дії, підготовлені за кілька тижнів, а не імпульсивний задум. 11 протоколів були змушені призупинити погашення, Ranger Finance зазнав збитків приблизно $900K. Але ланцюгова реакція, якої всі боялися, не сталася: TVL Solana постраждав, але краху не було.

Кілька моментів, які потрібно прояснити:

• Звинувачувати архітектуру Solana — це переплутати об’єкт. Неправильно налаштований мультипідпис — таку атаку можна відтворити на будь-якому ланцюзі. Ключ — у впровадженні покращень: адміністраторські дії мають виконуватися з таймлоком.
• Короткострокові гроші, що йдуть у стейблкоїни, — це нормально. Але DRIFT на рівні $0.041 може бути за ціною занадто песимістично; умова — якщо ресейл (replay) Drift і подальші дії будуть достатньо прозорими.
• Траєкторія «безпечної інфраструктури» отримає прямі вигоди. Протоколам потрібно оновити системи операцій і підтримки; постачальники послуг із таймлок-мультипідписами, апаратними гаманцями, управлінням ключами та моніторингом отримають більше замовлень.

Громадська думка сфокусувалася на суперечках щодо технічного шляху публічних мереж, але натомість упустила справжню проблему: прогалини в управлінні та операціях. Цей урок такий: DeFi потрібні сильніші заходи безпеки для адміністраторів; протоколи, що першими перейдуть на таймлок-мультипідписи та апаратні підписи, матимуть перевагу в премії за ризик.

Імовірні «тривоги про інфікування» — здебільшого шум

Голоси на кшталт «Solana все, кінець» звучать гучно, але дані on-chain не підтримують цей висновок: немає масового відтоку, SOL швидко стабілізувався; у соцмережах обговорення приблизно на дві третини зрештою зійшлися на питаннях операційної безпеки та процесів, а не на страху на рівні ланцюга.

Атака сталася в період із нижчою ліквідністю, що підсилило цінові коливання DRIFT. У той самий час BTC та ETH поводилися спокійно, що свідчить: це не системний ризик для всього ринку.

Дивлячись вперед: Drift співпрацює з правоохоронними органами, частину коштів, імовірно, можна повернути через етап заморозки; імовірність часткового повернення оцінюють як 50/50. Протоколи, які сприймуть це як сигнал про підвищення безпеки, виграють; проєкти, які ігнорують уроки, і надалі залишатимуться вразливими до аналогічних атак.

Підсумовуючи: це сильний удар для Drift і глибоко інтегрованих протоколів, але це не заперечення Solana чи DeFi. Вона ще раз доводить, що найвразливішою ланкою в системі часто є люди. Цього разу ринок швидше за суспільну думку розгледів це.

Висновок: наратив про нове ціноутворення за рахунок операційної безпеки ще на ранній стадії. Найбільшу перевагу отримають будівельники (builders) і постачальники безпекової інфраструктури; далі — середньо- та короткострокові трейдери, які здатні розпізнати й поставити на впровадження таймлок-мультипідписів/апаратних підписів у першу чергу; пасивні тримачі та фонди, що не коригують рамки ризик-менеджменту, перебувають у програшному становищі.