Децентралізована біржа Drift Protocol на блокчейні Solana зазнала однієї з наймасштабніших атак у своїй історії – зловмисники вивели близько $286 млн з трьох основних сховищ протоколу.
Інцидент розпочався 1 квітня 2026 року. Спочатку команда Drift зафіксувала «аномальну активність» і рекомендувала користувачам тимчасово утриматися від депозитів. Уже невдовзі було ухвалено екстрене рішення – повна зупинка операцій із введення та виведення коштів. Вранці 2 квітня стало зрозуміло, що йдеться не про збій, а про ретельно сплановану атаку з серйозними наслідками для всієї екосистеми.
Картина події вказує на комбінований характер атаки. Уразливість у коді смартконтрактів не було виявлено – зловмисники пішли іншим шляхом, поєднавши технічні особливості Solana та елементи соціальної інженерії. Ключову роль відіграв механізм durable nonces – інструмент, призначений для офлайн-підписів і відкладених транзакцій. У нормальній практиці він підвищує зручність і безпеку, але в цьому випадку став частиною ланцюга компрометації.
Сценарій розвивався поступово. Зловмиснику вдалося отримати попереднє схвалення двох із п’яти учасників multisig, що формально відповідало встановленим правилам безпеки. Однак далі було застосовано більш витончену схему – через створення та штучне «розігрівання» токена CVT. Використовувався класичний прийом wash-trading, який дозволив сформувати видимість активної та легітимної торгової історії. На тлі цього було вибудувано довіру до підробленого активу, що зрештою відкрило доступ до адміністративних функцій Security Council протоколу.
За оцінками аналітиків із TRM Labs, активна фаза атаки тривала близько 12 хвилин – час, за який було завдано основного удару по резервах. Найбільша транзакція становила приблизно 41,7 млн токенів JLP на суму близько $155 млн. Кошти були виведені зі сховищ JLP Delta Neutral, SOL Super Staking і BTC Super Staking, після чого оперативно конвертовані в USDC і переведені в мережу Ethereum. Такий швидкий кросчейн-маневр ускладнив подальше відстеження коштів.
За даними Elliptic, до атаки можуть бути причетні північнокорейські хакерські групи, що узгоджується з раніше спостережуваними патернами подібних інцидентів – висока підготовка, точковий тиск на інфраструктуру та використання складних багатоступеневих схем відмивання коштів.
Наслідки для протоколу виявилися серйозними. Загальний TVL Drift скоротився майже вдвічі – з приблизно $550 млн до менш ніж $250 млн. Постраждали практично всі категорії користувачів – від депозитів у borrow/lend до vault deposits і торгових балансів. Це класичний ефект довіри – щойно безпеку підривають, ліквідність зникає швидше, ніж новини встигають поширюватися.
Команда протоколу оперативно відреагувала: всі функції були заморожені, multisig-структура перебудована, скомпрометований гаманець виключено з управління. 3 квітня було надіслано on-chain повідомлення на адреси, пов’язані з викраденими коштами в мережі Ethereum, із пропозицією вийти на зв’язок через Blockscan chat для переговорів. Одночасно розпочалася координація з кібербезпековими компаніями, мостами, біржами та правоохоронними органами з метою відстеження та потенційного блокування активів.
Важливо також ширший контекст. Атака на Drift демонструє, що в DeFi ключовим ризиком залишається не стільки код, скільки процес управління доступом. Multisig із порогом 2 із 5, який у звичайній ситуації виглядає розумним компромісом між безпекою та оперативністю, виявився недостатнім при цільовій атаці на конкретних учасників. Це піднімає старе, але досі невирішене питання – де проходить межа між зручністю та надійним захистом.
Схема також показує, як еволюціонують атаки. Якщо раніше основний акцент робився на пошуку вразливостей у смартконтрактах, то тепер дедалі частіше використовується гібридний підхід – комбінація технічних можливостей мережі та людського фактора. І тут, як показує практика, слабку ланку знаходять швидше, ніж можна переписати код.
За попередніми оцінками, інцидент стане одним із найбільших і найскладніших зламів 2026 року, а також найбільшим в історії екосистеми Solana. Але ще важливіше інше – він може стати тригером для перегляду стандартів безпеки в DeFi. Питання лише в тому, чи зробить індустрія висновки заздалегідь, чи знову обмежиться класичним «наступного разу будемо обережнішими». Історія, як правило, надає перевагу другому варіанту, але ринок усе ж навчається – нехай і не завжди з першого разу.
ВІДМОВА ВІД ВІД ВІДПОВІДАЛЬНОСТІ: Усі матеріали, представлені на цьому сайті (https://wildinwest.com/), включно з вкладеннями, посиланнями або матеріалами, на які посилається компанія, призначено винятково для інформаційних і розважальних цілей, і їх не слід розглядати як фінансову консультацію. Матеріали третіх осіб залишаються власністю їхніх відповідних власників.