Протокол Drift подвергся хакерской атаке, понеся потери в размере 285 млн долларов

1 апреля 2026 года децентрализованная бессрочная контрактная биржа Drift Protocol в экосистеме Solana подверглась хакерской атаке: суммарно похищенные активы составили около 285 млн долларов. Злоумышленник, получив права администратора для мультисиг-кошелька протокола, в течение одного часа полностью вывел из нескольких фондов активы USDC, SOL, cbBTC, WETH и другие, после чего выполнил кросс-чейн перевод в сеть Ethereum, где обменял их примерно на 129 000 ETH (стоимостью около 278 млн долларов). По состоянию на 2 апреля 2026 года похищенные средства уже были распределенно размещены на 4 адресах в сети Ethereum; общий объем заблокированных средств (TVL) резко снизился с 550 млн долларов до примерно 255 млн долларов. Этот инцидент стал крупнейшим в сфере DeFi в 2026 году одноразовым событием по сумме потерь в результате одного инцидента безопасности.

Хронология атаки и технический путь

Атака не была внезапной — она включала примерно восьмидневный подготовительный период. Согласно данным в блокчейне, адрес кошелька злоумышленника HkGz4K… был создан 24 марта 2026 года; он получил первоначальное финансирование через кроссчейн-систему NEAR Intents и отправил Drift Vault небольшой тестовый перевод (примерно 2,52 доллара), чтобы проверить права на контроль контракта. Окно атаки открылось официально 1 апреля в 16:00 UTC:

• Первая транзакция вывела из дрейфового казначейства около 41,7 млн токенов JLP (стоимостью около 155,6 млн долларов).
• Последующие примерно 11 координированных транзакций в течение 60 минут поэтапно извлекли активы USDC, SOL, cbBTC, wBTC, WETH и другие, суммарно на 285 млн долларов.

По техническому пути: злоумышленник не использовал уязвимости в коде смарт-контрактов. Вместо этого, получив права администратора мультисиг-кошелька, он последовательно выполнил следующие действия: чеканка фальшивого токена CVT → манипуляция ценой оракула → отключение модуля безопасности → вывод высокоценных активов.

Ключевая уязвимость: мультисиг-механизм и отсутствие тимелока

Непосредственная причина этой атаки — недостаток безопасности в конфигурации управления мультисиг протокола Drift. В отчете по разбору от SlowMist указано, что примерно за неделю до атаки Drift изменил мультисиг-механизм на режим «2/5» (1 старый подписант плюс 4 новых подписанта) и не установил никакого тимелока (Timelock).

Тимелок — это механизм принудительной задержки: после изменения конфигурации с высокими привилегиями требуется период ожидания 24–48 часов, прежде чем изменения вступят в силу. Это дает сообществу и организациям по безопасности буферное «окно» для обнаружения аномалий. Отсутствие тимелока означает, что как только приватный ключ нового подписанта будет украден или окажется под злонамеренным контролем, злоумышленник сможет немедленно выполнить администраторские действия. Злоумышленник использовал единственного исходного подписанта из прежнего мультисиг и скоординировался с другим добавленным подписантом, чтобы совместно подписать и перенести администраторские права на адрес, которым он управляет, тем самым обойдя все меры защиты на уровне пользователей.

Логика отмывания: кроссчейн-переводы и конвертация в ETH

После успеха злоумышленник запустил процесс утилизации средств:

1. Кроссчейн-перевод: с помощью кроссчейн-протоколов вроде Wormhole перевести мультивалютные активы из сети Solana в сеть Ethereum.
2. Унифицированный обмен: на децентрализованной бирже в Ethereum обменять все активы USDC, SOL, wBTC и другие на ETH.
3. Децентрализация адресов: примерно 129 000 ETH (стоимостью около 278 млн долларов) были распределенно размещены на 4 адресах в сети Ethereum.

Логика выбора ETH в качестве финального актива включает: самая высокая ликвидность в сети Ethereum упрощает быструю реализацию; унификация мультивалютных украденных средств в один актив позволяет разорвать трассировку исходных средств on-chain; распределение адресов снижает риск заморозки одним адресом всей суммы. Часть USDC на сети Ethereum была заморожена эмитентом Circle, однако ее доля в общей сумме похищенного крайне низкая.

Влияние на TVL протокола Drift и экосистему Solana

Прямое финансовое воздействие события на протокол Drift отражается в данных по TVL. Согласно статистике DeFiLlama:

Временная точка (UTC)

TVL (доллары США)

1 апреля 00:00

около 550 млн

1 апреля 22:41

около 255 млн

Сокращение TVL вдвое означает уменьшение размеров пулов ликвидности, что приведет к росту торгового проскальзывания, снижению эффективности капитала и, как следствие, сжатию торгового объема протокола и доходов от комиссий. С более макроскопической точки зрения экосистемы Solana: это крупнейшее по масштабу DeFi-событие безопасности в экосистеме с момента атаки на мост Wormhole в 2022 году (326 млн долларов). В период с января по март 2026 года 15 DeFi-протоколов суммарно понесли потери примерно 137 млн долларов, тогда как единовременная потеря Drift в этом инциденте составила около двух раз больше этой суммы; при этом она значительно превзошла предыдущий рекорд крупнейшей разовой потери — 27,3 млн долларов.

Роль вмешательства эмитента стейблкоинов и «серые» зоны регулирования

Скорость реакции эмитента стейблкоинов Circle вызвала обсуждения в индустрии. После атаки часть USDC в сети Ethereum была заморожена Circle, однако большое количество USDC, переведенных через кроссчейн-мост, не было своевременно перехвачено, потому что они не проходили через прямые адреса хранения Circle. On-chain детектив ZachXBT раскритиковал это, заявив, что у Circle существует задержка в реакции относительно механизма заморозки кроссчейн USDC.

Этот спор выявляет «серую» зону в регулировании инцидентов безопасности в DeFi: обязательства стабильных эмитентов по проактивному вмешательству в кроссчейн-среде не имеют четкой правовой основы и отраслевого консенсуса. В настоящее время эмитенты вроде Circle способны замораживать USDC только на их нативной цепочке (Ethereum) и только те USDC, которые контролируются адресами, напрямую закрепленными за Circle. Для «мостового USDC», созданного через сторонние кроссчейн-мосты вроде Wormhole, либо для инкапсулированных активов после кроссчейна у эмитента нет прямого права на заморозку. Этот кейс может подтолкнуть регуляторов к более конкретным требованиям в отношении обязательств эмитентов стейблкоинов по реакции на риски.

Заключение

Ключевое структурное противоречие инцидента с атакой Drift заключается в следующем: DeFi-протоколы продают пользователям идею небосткового доверия и отсутствия депозитарного контроля, но на уровне управления часто сохраняют высококонцентрированные администраторские права (обычно называемые «ключом бога»). После получения злоумышленником администраторских прав он смог в рамках одной транзакции выполнить три высокорисковые операции: создать фальшивый рынок, манипулировать ценой оракула и снять ограничения на вывод средств. Это указывает на отсутствие многоуровневых механизмов верификации, порогов задержки операций и условий срабатывания realtime-контроля рисков в протоколе.

Следует отметить, что в версии v1 протокола Drift за 2022 год команда уже теряла 14,5 млн долларов из-за аналогичной проблемы с администраторскими правами; после чего команда выплатила полную компенсацию и опубликовала технический разбор. Четыре года спустя та же модель проблемы воспроизвелась в большем масштабе, что показывает: даже после разборов и итераций риск концентрации полномочий в базовой архитектуре безопасности так и не был устранен по существу.

FAQ

В: Можно ли вернуть украденные 285 млн долларов в Drift Protocol?

По состоянию на 2 апреля 2026 года украденные средства были переведены через кроссчейн в сеть Ethereum, конвертированы в ETH и распределенно размещены на 4 адресах. Общий уровень возврата средств по инцидентам безопасности DeFi в 2026 году составляет менее 7% (из 137 млн долларов возвращено только 9 млн долларов). Поскольку злоумышленник использовал зрелые пути распределения по множеству адресов и кроссчейн-отмывания, вероятность технического возврата крайне мала.

В: Влияет ли эта атака на безопасность других DeFi-протоколов в экосистеме Solana?

Эта атака возникла из-за конкретной уязвимости в самом протоколе Drift в конфигурации мультисиг и механизме тимелока, а не из-за системных дефектов базовой блокчейн-платформы Solana или универсальных стандартов смарт-контрактов. Однако событие существенно усилит требования к проверке со стороны аудиторских организаций и пользователей к конфигурациям администраторских прав в других DeFi-протоколах внутри экосистемы Solana; это может привести к перераспределению TVL между протоколами в краткосрочной перспективе.

В: Как разработчикам протокола предотвращать подобные атаки через администраторские права?

Отраслевые стандарты безопасности рекомендуют три ключевых меры: во-первых, установить как минимум 24-часовой тимелок для всех изменений конфигурации с высокими правами и дополнить это автоматизированным мониторингом и оповещениями; во-вторых, применять мультисиг-схему как минимум 4/7 или выше, при этом приватные ключи подписантов должны храниться в аппаратных модулях безопасности (HSM) и быть физически изолированы; в-третьих, развернуть on-chain модули realtime-контроля рисков: когда единичная транзакция включает администраторские операции и сумма превышает заданный порог, автоматически срабатывать задержка выполнения и процесс верификации со стороны сообщества.