Drift на День сміху викрав понад 2,8 мільярди доларів: хакери зламали чи внутрішні крадіжки

Шоу, Golden Finance

2 квітня деривативна торгова платформа Drift Protocol зазнала інциденту безпеки; за даними ончейн-спостережень, збитки перевищили 285 мільйонів доларів. Проєктна команда заявила, що виявила аномальну активність і проводить розслідування, закликала користувачів поки що не вносити кошти на протокол і підкреслила: «це не жарт до Дня сміху».

Ця атака зачепила кілька пулів коштів, зокрема JLP Delta Neutral, SOL Super Staking і BTC Super Staking тощо. Одна операція з переказом приблизно 41,7 млн токенів JLP оціноується у близько 155 млн доларів; додатково з протоколу вивели й інші активи, зокрема SOL, USDC, cbBTC та wBTC.

За статистикою, цей інцидент може стати однією з найбільших де-фі атак у екосистемі Solana після експлойту Wormhole bridge, що відбувся раніше.

I. Останні оновлення події атаки на Drift Protocol

За східноамериканським часом 1 квітня 2026 року децентралізований деривативний протокол Drift Protocol у екосистемі Solana зазнав масштабної хакерської атаки: викрадено активи приблизно на 285 млн доларів. Головні викрадені активи: токени JLP — близько 41,7 млн одиниць, вартістю 155,6 млн доларів; а також різноманітні активи, зокрема USDC, SOL, cbBTC, wBTC. Цей інцидент став однією з атак, що посідають друге місце в історії Solana за масштабом, і однією з найбільших за обсягом у DeFi.

Пізніше офіційна сторінка Drift Protocol у соцмережах опублікувала повідомлення, де підтвердила: «Drift Protocol зазнає атаки. Функції депозитів і зняття коштів призупинено. Ми працюємо разом із кількома організаціями з безпеки, кросчейн-мостами та біржами, щоб повністю взяти під контроль ситуацію. Це не жарт до Дня сміху. Більше інформації ми першими опублікуємо через цей акаунт».

Атака розпочалася з 2 квітня на світанку. Ончейн-платформа моніторингу PeckShield надіслала сповіщення: основна «скарбниця» Drift-адреса почала здійснювати масові перекази на щойно створений гаманець HkGz4K. Першими були переказані токени JLP (Jito Liquidity Provider), вартістю приблизно 155 млн доларів, а згодом — USDC, SOL, cbBTC, wBTC, WETH та частина meme-коінів. Дані PeckShield показують, що за короткий час сумарний відтік активів склав 285 млн доларів.

Згідно з моніторингом Yu Jin, активи Drift на 285 млн доларів, викрадені внаслідок інциденту, уже були обміняні на 129 тис. ETH (278 млн доларів). Протягом минулих кількох годин хакери різними способами продали ці активи та перекинули їх через кросчейн на мережу Ethereum, а потім в мережі Ethereum купили ETH. Наразі активи на 285 млн доларів, викрадені на Solana, вже на мережі Ethereum перетворені на 129,066 ETH.

Крім того, команда безпеки SlowMist у повідомленні в соцмережах заявила, що наразі викрадені кошти майже повністю зосереджено на таких адресах в Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674, 0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7, 0xaa843ed65c1f061f111b5289169731351c5e57c1, разом: 105,969 ETH (близько 226 млн доларів).

Хакерський адресний кластер:

II. Розбір атаки на Drift Protocol: «охоронець сам собі злодій» з боку команди?

Ця атака — ретельно спланована комбінація проникнення через права доступу + маніпуляція ціною. Її суть у тому, що хакер, заволодівши адміністративними правами, через підроблені токени та маніпулювання оракулами миттєво прорвав ліміти на кошти, пограбувавши скарбницю протоколу. Хакер, отримавши приватний ключ адміністратора, зняв основний контур безпеки протоколу (ліміт на зняття коштів). Далі, використовуючи фальшиві забезпечення, він масово витягнув кошти з пулів, а потім за допомогою кросчейн-переказів завершив відмивання.

Щодо інциденту, внаслідок якого активи були викрадені після атаки на Drift Protocol, засновник SlowMist Юй Сін у дописі проаналізував подію викрадення і зазначив, що за тиждень до атаки Drift змінив мультипідписний механізм на «2/5» (1 старий підписант + 4 нові підписанти) і не встановив таймлок (timelock). Після цього нападник отримав адміністративні права, підробив токени CVT, маніпулював оракулом, вимкнув механізми безпеки та перевів активи з високою вартістю з пулів коштів.

Співзасновник Chaos Labs Омер Голдберг також у повідомленні в соцмережах написав, що за тиждень до цього Drift перенісся на новий гаманець із мультипідписом, який було створено одним із підписантів із попереднього мультипідпису. Але цей підписант не додав себе до нового списку підписантів. Натомість нападник одночасно ініціював пропозицію в старому мультипідписі, щоб передати адміністративні права на цей новий гаманець. Новий мультипідпис має 5 підписантів: лише 1 людина з них — з команди, решта 4 — це цілком нові адреси. Цей гаманець налаштовано на поріг 2/5 мультипідпису, і в ньому немає жодного таймлоку (0 секунд затримки). Приблизно 5 годин тому єдиний підписант зі «старого» набору ініціював пропозицію через новий мультипідпис, щоб змінити адміністративні права Drift. Один новий підписант підписав за секунду, миттєво досягнувши порогу 2/5. Оскільки таймлоку не було, транзакція виконалася одразу.

З огляду на наявні ончейн-докази, поведінку команди, напрям руху коштів та інші фактори, імовірність того, що це було «охоронцем, який сам собі злодій», справді є одним із найобговорюваніших і найбільш підозрілих напрямів у колі прямо зараз, і навіть більше відповідає логіці, ніж «зовнішнє проникнення хакерів». Раніше офіційно змінювали мультипідписний механізм, через що структура прав стала «занадто зручною для атаки» — це більше схоже не на випадковість. Спосіб атаки «надто добре розуміє внутрішню логіку», що зовсім не схоже на стиль зовнішнього хакера; до того ж офіційна реакція на викрадення активів такого масштабу була надзвичайно спокійною. Після викрадення потік коштів виглядав надто чистим і зрозумілим: кошти швидко перетворили на ETH та виконали кросчейн-операції, і не було надходження на біржі централізованого типу, які легко піддаються заморожуванню. Уся ця послідовність подій і логіка дій. Це спричинило, що в спільноті підозри щодо «охоронця, який сам собі злодій» з боку Drift офіційних представників дедалі посилюються.

III. Думки зацікавлених сторін і реакція криптоспільноти

Після того як сталося викрадення активів Drift Protocol, різні сторони та криптоспільнота відреагували по-різному:

• У випадку інциденту з викраденням активів у DeFi-протоколі Drift втрата позиції JLP становить приблизно 155,6 млн доларів. На це Jupiter офіційно заявив, що платформа не постраждала від цього інциденту: її кредитний продукт Jupiter Lend не був пов’язаний із ринком Drift, а активи JLP «повністю підтримані базовими активами». Також Jupiter зазначив, що для екосистеми Solana DeFi це була «важка доба», і висловив турботу щодо команди Drift та користувачів, яких торкнувся інцидент.

• Протокол генерації доходу Unitas Protocol у дописі повідомив, що він не зазнав впливу інциденту атаки на Drift Protocol. На Drift у Unitas немає жодної експозиції. Усе забезпечення безпечне, а всі стратегії (зокрема JLP Delta Neutral) працюють нормально. Кошти користувачів у безпеці. Забезпечення можна безпосередньо верифікувати в реальному часі через резервні докази на панелі Accountable та Primus Labs.

• Solana протокол ліквідності Meteora у дописі заявив, що всі кошти на Meteora безпечні, а всі функції платформи та скарбниця не взаємодіяли з протоколом Drift.

• Засновниця інфраструктури стейблкоїнів Perena Anna у дописі повідомила, що її Perena USD*, USD*-J та USD*-P не зазнали впливу інциденту атаки на Drift. Але JLP-скарбниця, яка працює в рамках кількісної стратегії в платформі обміну стратегіями Neutral Trade під керуванням, була зачеплена, оскільки вона працює на Drift Protocol. Команда підтримує зв’язок із партнерами та продовжуватиме оновлювати прогрес.

• Користувач платформи X @hzkj99: викрадення активів протоколу Drift у екосистемі SOL; збитки — на сотні мільйонів доларів. Усе, що пов’язане з коштами, у будь-який момент має бути першочергово безпечним, особливо в ведмежому ринку — тоді точно з’являться нові випадки викрадення протоколів. Цей світ — справді величезний «колектив майстрів на рівні тимчасової сцени»: деякі протоколи можна викрадати навіть багато разів, а Drift — це точно не останній протокол, який викрали.

• Користувач платформи X @lanhubiji: Drift Protocol зазнав масштабної експлуатації критичної вразливості; втрати — на рівні приблизно 270 млн доларів; це один із найбільших де-фі інцидентів з атаками станом на 2026 рік. Деякі дописи, серйозно стверджуючи: «Фундація Solana координує з серверами Толя (співзасновника) підвал». Це, звісно, жарт, але так казати — трохи вже забагато.

• Користувач платформи X @EnHeng456: у ведмежому ринку реально треба бути надзвичайно обережним із зберіганням грошей. Зараз середовище стає дедалі менш безпечним: повсюди новини про крадіжки. І деякі старі протоколи спеціально в ведмежому ринку теж починають проблеми — тобі дуже важко відрізнити, це атака хакерів чи «охоронець сам собі злодій». Я нещодавно теж став надто консервативним: просто чесно тримаю все в USD1 і більше ніде не розміщую навмання. За такої ринкової ситуації чим більше метушишся — тим легше наробити проблем. Іноді не рухатися — найкращий варіант: Drift викрали на 200 млн доларів, а гроші вже в кишені «генерала».

IV. Вплив інциденту з викраденням Drift Protocol

Інцидент із викраденням Drift Protocol на 285 млн доларів — це друга за масштабом DeFi-атака в історії екосистеми Solana. Її вплив значно перевершує масштаб самого протоколу: це сильно вдарило по довірі в екосистемі Solana та прискорило зміни в безпеці DeFi.

Ця атака оголила фатальні недоліки DeFi-проєктів у керуванні мультипідписними правами та безпеці оракулів. Права — це скарбниця. Якщо адміністративний ключ потрапляє до рук зловмисників і бракує механізмів екстреного гальмування на кшталт таймлоку, то будь-яка складна логіка коду може миттєво перестати працювати. Для Drift Protocol це означатиме шлях до ліквідації, банкрутства та судових позовів, якщо не вдасться повернути великі кошти або якщо не знайдеться «великий покупець», який перебере активи. Для Solana та її екосистеми це завдає серйозної шкоди репутації екосистеми: у короткостроковій перспективі — відтік коштів і сповільнення зростання; у довгостроковій — примус до оновлення безпеки. А для всієї індустрії DeFi це можна назвати розділовим моментом: «безпека прав доступу важливіша за безпеку коду» стає безумовним правилом; витрати на довіру різко зростають. DeFi перейде в нову фазу, більш регульовану, більш прозору та більш централізовану (безпечне управління).