Децентрализованная биржа Drift Protocol на блокчейне Solana подверглась одной из самых масштабных атак в своей истории — злоумышленники вывели около $286 млн из трёх основных хранилищ протокола.
Инцидент начался 1 апреля 2026 года. Сначала команда Drift зафиксировала «аномальную активность» и рекомендовала пользователям временно воздержаться от депозитов. Уже вскоре последовало экстренное решение — полная остановка операций по вводу и выводу средств. К утру 2 апреля стало ясно, что речь идёт не о сбое, а о тщательно спланированной атаке с серьёзными последствиями для всей экосистемы.
Картина произошедшего указывает на комбинированный характер атаки. Уязвимость в коде смарт-контрактов не была обнаружена — злоумышленники пошли другим путём, соединив технические особенности Solana и элементы социальной инженерии. Ключевую роль сыграл механизм durable nonces — инструмент, предназначенный для офлайн-подписей и отложенных транзакций. В нормальной практике он повышает удобство и безопасность, но в данном случае стал частью цепочки компрометации.
Сценарий развивался постепенно. Злоумышленнику удалось получить предварительное одобрение двух из пяти участников multisig, что формально соответствовало установленным правилам безопасности. Однако затем в ход пошла более изощрённая схема — через создание и искусственное «разогревание» токена CVT. Использовался классический приём wash-trading, позволивший сформировать видимость активной и легитимной торговой истории. На фоне этого было выстроено доверие к поддельному активу, что в итоге открыло доступ к административным функциям Security Council протокола.
По оценкам аналитиков из TRM Labs, активная фаза атаки заняла около 12 минут — время, за которое был нанесён основной удар по резервам. Самая крупная транзакция составила примерно 41,7 млн токенов JLP на сумму около $155 млн. Средства были выведены из хранилищ JLP Delta Neutral, SOL Super Staking и BTC Super Staking, после чего оперативно конвертированы в USDC и выведены в сеть Ethereum. Такой быстрый кроссчейн-манёвр усложнил последующее отслеживание средств.
По данным Elliptic, к атаке могут быть причастны северокорейские хакерские группы, что согласуется с ранее наблюдаемыми паттернами подобных инцидентов — высокая подготовка, точечное давление на инфраструктуру и использование сложных многоступенчатых схем отмывания средств.
Последствия для протокола оказались серьёзными. Общий TVL Drift сократился почти вдвое — с примерно $550 млн до менее чем $250 млн. Пострадали практически все категории пользователей — от депозитов в borrow/lend до vault deposits и торговых балансов. Это классический эффект доверия — как только подрывается безопасность, ликвидность уходит быстрее, чем новости успевают распространяться.
Команда протокола оперативно отреагировала: все функции были заморожены, multisig-структура пересобрана, скомпрометированный кошелёк исключён из управления. 3 апреля были направлены on-chain сообщения на адреса, связанные с похищенными средствами в сети Ethereum, с предложением выйти на связь через Blockscan chat для переговоров. Одновременно началась координация с кибербезопасными компаниями, мостами, биржами и правоохранительными органами с целью отслеживания и потенциальной блокировки активов.
Важно отметить и более широкий контекст. Атака на Drift демонстрирует, что в DeFi ключевым риском остаётся не столько код, сколько процесс управления доступом. Multisig с порогом 2 из 5, который в обычной ситуации выглядит разумным компромиссом между безопасностью и оперативностью, оказался недостаточным при целевой атаке на конкретных участников. Это поднимает старый, но до сих пор не решённый вопрос — где проходит граница между удобством и надёжной защитой.
Схема также показывает, как эволюционируют атаки. Если раньше основной акцент делался на поиске уязвимостей в смарт-контрактах, то теперь всё чаще используется гибридный подход — комбинация технических возможностей сети и человеческого фактора. И здесь, как показывает практика, слабое звено находится быстрее, чем можно переписать код.
По предварительным оценкам, инцидент станет одним из крупнейших и наиболее сложных взломов 2026 года, а также крупнейшим в истории экосистемы Solana. Но ещё важнее другое — он может стать триггером для пересмотра стандартов безопасности в DeFi. Вопрос лишь в том, сделает ли индустрия выводы заранее или снова ограничится классическим «в следующий раз будем осторожнее». История, как правило, предпочитает второй вариант, но рынок всё же учится — пусть и не всегда с первого раза.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Все материалы, представленные на этом сайте (https://wildinwest.com/), включая вложения, ссылки или материалы, на которые ссылается компания, предназначены исключительно для информационных и развлекательных целей и не должны рассматриваться как финансовая консультация. Материалы третьих лиц остаются собственностью их соответствующих владельцев.