Drift“Курьозний день” понад 280Mа доларів викрадено: хакери або внутрішні злочинці?

Шоу, «Цзіньсе Цайцзін»

2 квітня на платформі для торгівлі деривативами Drift Protocol стався інцидент безпеки; дані в ланцюжку вказують на збитки понад 285 мільйонів доларів. Згідно з повідомленням команди проєкту, вони виявили аномальну активність і наразі розслідують ситуацію. Нагадують користувачам тимчасово не вносити кошти в протокол, а також підкреслюють: «це не жарт до Дня дурня».

У цьому нападі задіяно кілька пулив ліквідності, зокрема JLP Delta Neutral, SOL Super Staking та BTC Super Staking тощо. Разова передача токенів JLP приблизно на 41,7 мільйона одиниць за оціночною вартістю близько 155 мільйонів доларів; крім того, активи на кшталт SOL, USDC, cbBTC і wBTC також були виведені.

Згідно зі статистикою, цей інцидент може стати одним із найбільших дефаї-атак у екосистемі Solana після експлойту Wormhole bridge.

I. Останні оновлення події, коли Drift Protocol зазнав атаки

За північноамериканським східним часом 1 квітня 2026 року децентралізований протокол деривативів Drift Protocol на екосистемі Solana зазнав масштабної хакерської атаки: викрадені активи становлять приблизно 285 мільйонів доларів. Основними викраденими активами є: близько 41,7 мільйона токенів JLP на суму 155,6 мільйона доларів; а також різні активи, зокрема USDC, SOL, cbBTC та wBTC. Цей інцидент став одним із атак, що посідає друге місце за масштабом в історії Solana та одне з найбільших за обсягом у DeFi.

Після цього офіційний акаунт Drift Protocol опублікував допис у соцмережах, підтвердивши: «Drift Protocol зазнає атаки. Функції депозиту та зняття коштів призупинено. Ми співпрацюємо з кількома структурами безпеки, кросчейн-мостами та біржами, щоб повністю взяти ситуацію під контроль. Це не жарт до Дня дурня. Більше інформації ми опублікуємо в першу чергу через цей акаунт».

Атака почалася з 2 квітня на світанку. Платформа on-chain моніторингу PeckShield надіслала попередження: головна скарбниця (main vault) Drift почала здійснювати великі перекази на щойно створений гаманець HkGz4K. Першою партією, що виходила, були токени JLP (Jito Liquidity Provider) вартістю близько 155 мільйонів доларів, а далі — USDC, SOL, cbBTC, wBTC, WETH та частина meme-коінів. Дані PeckShield показують, що за короткий час сумарний відтік активів склав 285 мільйонів доларів.

Згідно з моніторингом від Yu Jin (余烬), активи Drift на 285 мільйонів доларів, які були викрадені, наразі вже конвертовані в 129 тисяч ETH (278 мільйонів доларів). Протягом останніх кількох годин хакер різними способами продав ці активи та переказав їх через кросчейн на ланцюжок Ethereum, а потім на ланцюжку Ethereum купив ETH. Наразі активи на 285 мільйонів доларів, викрадені на Solana, вже купили на ланцюжку Ethereum та перетворили на 129,066 ETH.

Крім того, команда безпеки SlowMist у дописі в соцмережах повідомила, що на цей момент викрадені кошти майже повністю зосереджено на таких адресах в Ethereum: 0x0fe3b6908318b1f630daa5b31b49a15fc5f6b674、0xd3feed5da83d8e8c449d6cb96ff1eb06ed1cf6c7、0xaa843ed65c1f061f111b5289169731351c5e57c1, усього: 105,969 ETH (приблизно 226 мільйонів доларів).

Група хакерських адрес:

II. Розбір атаки на Drift Protocol: «самоуправство охоронця» з боку команди?

Ця атака — поєднання ретельно спланованого вторгнення через повноваження та маніпуляцій із цінами. Її суть у тому, що хакер, отримавши адміністраторські права, через підробку токенів і маніпулювання оракулами миттєво пробив ліміти коштів, пограбувавши скарбницю протоколу. Хакер, отримавши приватний ключ адміністратора, вимкнув ключовий контур управління ризиками протоколу (ліміти на зняття коштів), а потім, використовуючи фіктивне забезпечення, масово вивів кошти з пулу та завершив відмивання через кросчейн-переказ активів.

Щодо інциденту, коли через атаку на Drift Protocol активи були викрадені, засновник SlowMist Юй Сянь (余弦) опублікував аналіз та зазначив, що за тиждень до атаки Drift змінив багатопідписний механізм на «2/5» (1 старий підписант + 4 нові підписанти) і не встановив таймлок (timelock). Після цього атакувальник отримав адміністраторські права, підробив CVT-токен, маніпулював оракулами, вимкнув механізми безпеки й переказав цінні активи з пулу.

Співзасновник Chaos Labs Омер Голдберг (Omer Goldberg) також у соцмережах написав: тиждень тому Drift перенісся на новий гаманець із мультипідписом. Цей гаманець створив один із підписантів зі старого мультипідпису. Але цей підписант не додав себе до нового списку мультипідписантів. Атакувальник водночас ініціював пропозицію в старому мультипідписі, щоб передати адміністраторські права цьому новому гаманцю. Новий мультипідпис має 5 підписантів: лише 1 — із початкової команди, а решта 4 — це повністю нові адреси. Гаманець налаштований на поріг 2/5 багатопідпису й не має жодного таймлоку (0 секунд затримки). 2 квітня на світанку цей єдиний підписант зі старого складу ініціював пропозицію через новий мультипідпис, щоб змінити адміністраторські права Drift. Один новий підписант підписав протягом однієї секунди, миттєво досягнувши порогу 2/5. Оскільки таймлоку не було, транзакцію виконали одразу.

Окрім того, в спільноті ходять чутки, що ключовий учасник команди Drift залишив посаду місяць тому, але це не є офіційно підтвердженим фактом і не має доказів: наразі це лише припущення/чутки, що ширяться в X (Twitter) спільноті. Там немає конкретних імен, і жодні провідні медіа або офіційні особи Drift не підтвердили це. У провідних новинах і в офіційних заявах Drift взагалі не згадувалося, що якийсь член команди звільнився за місяць до цього.

Втім, ймовірність «самоуправства охоронця» справді є напрямом із найбільшою залученістю в обговореннях у колі прямо зараз і найбільше запитань, і навіть логічніше, ніж версія про «проникнення зовнішнього хакера». Раніше офіційні зміни багатопідпису зробили структуру прав «занадто зручними для атаки», а це не схоже на випадковість. Прийоми атаки «занадто добре розуміють внутрішню логіку», це зовсім не схоже на стиль зовнішніх хакерів. Офіційна реакція на викрадення таких величезних сум виглядає надзвичайно спокійною. Після викрадення потоки коштів дуже чисті й чіткі: кошти швидко конвертували в ETH і виконали кросчейн-операції, при цьому не було надходжень на централізовані біржі, які легко піддаються заморожуванню. Уся ця послідовність подій і операційна логіка змушує спільноту підсилювати підозру щодо того, що офіційні особи Drift могли бути причетні до «самоуправства охоронця».

III. Реакція відповідних сторін і криптоспільноти

Після інциденту, коли активи Drift Protocol були викрадені, різні відповідні сторони та криптоспільнота відреагували по-різному:

• У випадку викрадення в DeFi-протоколі Drift, збитки позиції JLP становлять приблизно 155,6 мільйона доларів. На це Jupiter офіційно відповів, що платформа не зазнала впливу цього інциденту: їхній кредитний продукт Jupiter Lend не має експозиції до ринку Drift, а активи JLP «повністю підтримуються базовими активами». Jupiter також зазначив, що цей інцидент для екосистеми Solana DeFi — це «складний день», і висловив занепокоєння команді Drift та постраждалим користувачам.

• Протокол генерації доходу Unitas Protocol у твіті повідомив, що інциденту з атакою на Drift Protocol він не відчув. У Unitas на Drift немає жодної експозиції. Усе забезпечення безпечне, усі стратегії (зокрема стратегія JLP Delta Neutral) працюють нормально. Кошти користувачів у безпеці. Забезпечення можна в режимі реального часу підтвердити через інформаційні дашборди «Accountable» та «Primus Labs» із резервними доказами.

• Протокол ліквідності Solana Meteora у твіті заявив, що всі кошти на Meteora безпечні, усі функції платформи та скарбниця не взаємодіяли з протоколом Drift.

• Засновниця інфраструктури для стейблкоїнів Perena Анна (Anna) у твіті повідомила, що її Perena USD*, USD*-J та USD*-P не зазнали впливу інциденту з атакою на Drift. Але при цьому JLP-скарбниця, що працює на базі кількісної стратегії Neutral Trade на платформі обміну квант-стратегіями екосистеми Solana, була під впливом, бо працює на Drift Protocol. Команда наразі підтримує зв’язок із партнерами та продовжуватиме оновлювати прогрес.

• Користувач X @hzkj99: активи-угоди Drift Protocol у екосистемі SOL були вкрадені; збитки на рівні сотень мільйонів доларів. Якщо будь-якої миті є кошти, безпека — це перше за все. Особливо в ведмежому ринку точно з’являтимуться нові протоколи, які змусять вкрасти. Цей світ справді велетенська «група на коліні»; деякі протоколи можна вкрасти навіть багато разів, а Drift — це точно не останній протокол, в якого вкрали

• Користувач X @lanhubiji: Drift Protocol зазнав серйозного використання уразливості, втрати приблизно на рівні 270 мільйонів доларів — це один із найбільших інцидентів атаки на DeFi з початку 2026 року. Деякі пости, цілком серйозно кажуть: «Solana Foundation зараз координує відкат із серверами в підвалі Toly (співзасновника)». Це, звісно, жарт, але звучить дещо надто.

• Користувач X @EnHeng456: у ведмежому ринку справді потрібно бути дуже обережним із тим, де зберігаєш гроші; нинішнє середовище стає все менш безпечним. Повсюди новини про крадіжки. Деякі старі протоколи також спеціально виходять з ладу в ведмежому ринку; тобі дуже складно розрізнити, це хакерська атака чи «самоуправство охоронця». Я останнім часом теж дуже обережний: просто чесно тримаю в USD1 і не наважуюся знову зберігати деінде. У такій ситуації що більше метушишся, то легше трапляється проблема. Іноді те, що не рухаєшся, — найкращий вибір. Drift вкрали на 129k доларів, а потім це потрапило в кишеню генерала.

IV. Вплив інциденту з викраденням у Drift Protocol

Інцидент із викраденням 285 мільйонів доларів у Drift Protocol — це друга за масштабом DeFi-атака в історії екосистеми Solana. Її вплив значно перевершує сам протокол: вона сильно вдарила по довірі до екосистеми Solana й пришвидшила зміни в безпеці DeFi.

Ця атака оголила фатальні недоліки в DeFi-проєктах щодо керування правами мультипідпису та безпеки оракулів. «Права — це скарбниця», і якщо адміністраторський ключ втрачається та немає механізмів екстреного гальмування, таких як таймлок, будь-яка складна логіка коду може миттєво стати недієвою. Для Drift Protocol це означатиме рух у бік санації/ліквідації, банкрутства та судових процесів, якщо не повернуть величезні гроші або не з’явиться «великий покупець» (покупець-гігант). Для Solana та її екосистеми: довіра зазнає серйозного удару, у короткостроковій перспективі підуть відтоки коштів і сповільниться зростання; у довгостроковій перспективі це змусить безпеку оновлюватися. А для всієї індустрії DeFi можна сказати, що це переломний момент для галузі: «безпека прав важливіша за безпеку коду» стає залізним правилом. Вартість довіри різко зростає, і DeFi перейде в новий етап більш комплаєнс-орієнтований, більш прозорий і більш централізований (безпечне управління).