2.85 мільярдів доларів зникло! Drift Protocol зазнав атаки, чому захисний щит DeFi виявився порожнім?

1 квітня 2026 року, День сміху. Децентралізована перманентна біржа екосистеми Solana — Drift Protocol — зазнала серйозної хакерської атаки, загальна сума викрадених активів склала приблизно 2,85 мільярдів доларів, що стало найбільшою за обсягом однією подією втрати у сфері DeFi у 2026 році.

Це не жарт. Це ще один важкий дзвінок у історії безпеки DeFi.

Як сталася атака?

Атака була не раптовою, а результатом ретельної підготовки, що тривала близько восьми днів. Дані в блокчейні показують, що адреса зловмисника була створена 24 березня, він отримав початкові кошти через міжланцюгову систему NEAR Intents і надіслав невелику тестову транзакцію до сейфу Drift для перевірки прав контролю над контрактом.

16:00 1 квітня (UTC) — офіційно відкрився вікно атаки. Зловмисник, отримавши доступ до адміністративних прав мультипідписного гаманця протоколу, за годину очистив активи з кількох пулів — USDC, SOL, cbBTC, WETH — і міжланцюгово переказав їх у мережу Ethereum для обміну на приблизно 129 000 ETH (вартістю близько 278 мільйонів доларів).

Шлях атаки був ясним і смертельним:

· Підробка фальшивих токенів CVT
· Маніпуляція цінами оракулів
· Вимкнення систем безпеки
· Виведення цінних активів

Вкрадені кошти були розподілені між 4 адресами Ethereum, загальна заблокована вартість протоколу (TVL) різко знизилася з 550 мільйонів доларів до приблизно 255 мільйонів доларів.

Основна причина: відсутність таймлоків

Ключова уразливість цієї атаки полягала у безпеці налаштувань мультипідпису в Drift Protocol. Звіт компанії з безпеки SlowMist вказує, що за тиждень до атаки Drift налаштував механізм мультипідпису на режим «2/5» (один старий підписувач і чотири нових), при цьому не встановивши таймлок (Timelock).

Таймлок — це механізм примусового затримки, що вимагає очікування 24-48 годин після змін у налаштуваннях з високими привілеями, щоб вони набрали чинності, забезпечуючи буфер для виявлення аномалій у спільноті та службах безпеки. Відсутність таймлоку означає, що якщо приватний ключ нового підписувача буде викрадений або зловмисник отримає контроль, він зможе негайно виконати адміністративні дії.

Зловмисник використав старий підписувач із єдиним оригінальним підписом і ще одним новим підписувачем для спільного підписання, щоб передати адміністративні права на свій адресу, обходячи всі рівні захисту.

Методи атаки: попереднє підписання + соціальна інженерія

Ця атака поєднала технологію попереднього підписання на основі персистентних випадкових чисел із високорівневими методами соціальної інженерії. Починаючи з 23 березня, зловмисник створив облікові записи з персистентними випадковими числами для двох підписувачів мультипідпису та двох облікових записів, якими він керував. Зловмисник шляхом введення в оману змінив зміст транзакцій, отримав попереднє підписання від легітимних підписувачів, зберіг його за допомогою персистентних випадкових чисел і 1 квітня масово виконав ці підписання, отримавши контроль над адміністративними правами. У цій події не було витоку мнемонічних фраз або вразливостей у смарт-контрактах.

Реакція галузі

Раніше Drift Protocol був одним із найбільших кредитних протоколів у екосистемі Solana, зібравши понад 52 мільйони доларів інвестицій, серед яких Multicoin Capital, Polychain та інші провідні венчурні фонди.

Після події ціна токена Drift знизилася більш ніж на 40% за короткий час. Оскільки у цю подію були залучені багато активів екосистеми Solana, такі як SOL, JUP, ці токени також зазнали різних ступенів падіння.

Токен DRIFT знизився з приблизно 0,072 долара до 0,055 долара, причому перед цим він уже знизився приблизно на 98% від свого максимуму.

Офіційний сайт Drift пізніше призупинив усі функції внесення та зняття, підкресливши: «Це не жарт на День сміху». Гаманець Phantom швидко відреагував, заблокувавши доступ до протоколу.

Більше занепокоєння: хакери з Північної Кореї?

Головний технічний директор Ledger Чарльз Гійємет у своєму дописі зазначив, що методи атаки, використані у цій уразливості Drift Protocol, дуже схожі з атакою на Bybit у 2025 році, яка широко вважається пов’язаною з хакерами з Північної Кореї. Гійємет підкреслив, що ця атака не була спрямована на будь-який смарт-контракт, а зловмисники через тривалу проникнення у пристрої підписувачів мультипідпису змусили їх схвалити зловмисні транзакції, при цьому підписувачі могли й не підозрювати, що вони авторизують шкідливі дії.

Як захистити свої активи?

· Якщо ви взаємодіяли з Drift Protocol, негайно відкличте дозволи, переглядаючи підключені додатки через гаманець Phantom
· Розгляньте використання кількох гаманців для розподілу ризиків, для великих сум рекомендується апаратний гаманець
· Будьте обережні з високоризиковими DeFi-протоколами, регулярно перевіряйте дозволи смарт-контрактів

Попередження про безпеку

Знову доводить, що найголовніший ризик у DeFi — це не вразливості коду, а людський фактор. Налаштування мультипідпису, управління приватними ключами, аудит процесів підписання — ці «процесні заходи безпеки» набагато важливіші за кодовий аудит. Лише за 10 днів після атаки Resolv, яка сталася через відсутність мультипідпису, протокол зламали, а Drift, незважаючи на мультипідпис, через низький поріг і відсутність таймлоку також зазнав поразки.

Обидві події ясно показують, що терміново потрібно радикально переосмислити архітектуру привілеїв.