Злоумышленники 1 апреля 2026 года вывели около $285 млн из Drift Protocol, крупнейшей децентрализованной биржи для торговли бессрочными фьючерсами на Solana. По оценке TRM Labs, вывод занял около 12 минут. Атака не затронула код смарт-контракта. Злоумышленники неделями готовили фальшивый токен, обманывали участников мультиподписи и последовательно обходили механизмы защиты протокола.
TRM Labs в предварительном отчёте указала, что за атакой, вероятно, стоят северокорейские хакеры. Компания Elliptic независимо оценила поведение на блокчейне как совпадающее с предыдущими операциями КНДР.
Подготовка началась 11 марта. Злоумышленник вывел 10 ETH из миксера Tornado Cash и на следующий день развернул CarbonVote Token (CVT), полностью фиктивный актив с примерно 750 млн токенов. На децентрализованной бирже Raydium появился небольшой пул ликвидности на несколько тысяч долларов. Серия фиктивных сделок создала искусственную ценовую историю вблизи $1. Оракулы Drift со временем приняли эту цену как достоверную, и CVT стал выглядеть как легитимное обеспечение.
С 23 по 30 марта злоумышленник создал несколько учётных записей durable nonce. Этот механизм Solana позволяет подписать транзакцию заранее и выполнить её позже без ограничения по времени. Через социальную инженерию злоумышленник убедил участников Совета безопасности Drift с правом подписи одобрить транзакции, которые выглядели как обычные, но на деле содержали скрытые разрешения на критические административные действия.
27 марта Drift изменил конфигурацию Совета безопасности на 2-из-5 с нулевым таймлоком. Задержка, позволявшая заметить подозрительные действия, перестала существовать.
Читайте также: Новый стилер Torg Grabber атакует криптокошельки
1 апреля злоумышленник выполнил цепочку действий. Скомпрометированный административный ключ добавил CVT как допустимый рынок на Drift. Злоумышленник установил запредельные лимиты на вывод средств. Из почти 20 хранилищ средства ушли за считанные минуты.
Злоумышленник получил несанкционированный доступ к Drift Protocol через новый тип атаки с использованием durable nonces, что привело к быстрому захвату административных полномочий Совета безопасности Drift. Это не первоапрельская шутка.
— Drift Protocol, заявление на платформе X
Злоумышленники перевели похищенные активы в USDC и SOL, переправили из Solana в Ethereum через протокол Circle CCTP (Cross-Chain Transfer Protocol) и обменяли на ETH. На блокчейне зафиксировано около 129 066 ETH на кошельках злоумышленника. Часть SOL ушла на HyperLiquid и Binance.
3 апреля Drift направил сообщения на четыре Ethereum-кошелька с основной частью похищенных средств, предложив начать переговоры. Блокчейн-исследователь ZachXBT публично раскритиковал Circle за то, что компания не заморозила USDC во время перевода через мост. Средства перемещались в рабочие часы США на протяжении нескольких часов без вмешательства.
Читайте также: Жена сняла на камеру сид-фразу мужа и вывела 2 323 биткоина. Суд разрешил иск на $172 млн
TVL Drift упал с примерно $550 млн до $252 млн. Токен DRIFT потерял около 40% стоимости. Почти 20 связанных DeFi-протоколов сообщили о понесённых убытках. PiggyBank_fi оценил потери в ~$106 000 и покрыл их из собственных средств. Ranger Finance приостановил операции с оценкой потерь свыше $900 000. Jupiter Exchange подтвердил, что пул JLP полностью обеспечен.
$285 млн делают эту атаку крупнейшим DeFi-взломом 2026 года. Это второй по величине инцидент в истории Solana после взлома моста Wormhole на $326 млн в 2022 году. По оценке TRM Labs, скорость отмывания средств после атаки превысила темпы, зафиксированные после взлома Bybit ($1,4 млрд) в 2025 году.
Смарт-контракты выстояли. Настоящая цель теперь — люди: социальная инженерия и недостатки операционной безопасности, а не ошибки в коде.
— Лили Лю (Lily Liu), президент Solana Foundation
По данным Chainalysis, в 2025 году Северная Корея похитила около $2 млрд в криптовалюте. Это примерно 60% всех украденных цифровых активов за тот год. Взлом Bybit ($1,4 млрд, 2025) использовал тот же почерк: многонедельная подготовка, нацеленная на людей и операционные процессы, а не на код. Атака на Drift повторяет этот сценарий.
Шарль Гийеме (Charles Guillemet), технический директор Ledger, провёл параллели с Bybit. Он оценил, что злоумышленники, вероятно, скомпрометировали машины участников мультиподписи через длительное проникновение и ввели операторов в заблуждение, заставив одобрить вредоносные транзакции.
Читайте также: Налоговая служба Южной Кореи случайно опубликовала сид-фразу от конфискованного криптокошелька, с него тут же украли $4,8 млн
Trail of Bits провёл аудит Drift в 2022 году. ClawSecure провела аудит в феврале 2026. Ни один из аудитов не выявил слабости в системе управления: ни допуск фиктивного рынка CVT, ни миграцию Совета безопасности на нулевой таймлок. Взлом Resolv двумя неделями ранее показал ту же закономерность: аудиты проверяют код, а не архитектуру управления ключами и правами доступа.
Мультиподпись 2-из-5 с нулевым таймлоком и без независимой верификации участников, это приглашение для атаки. Злоумышленник превратил несколько тысяч долларов фальшивой ликвидности в $285 млн похищенных активов, поскольку целью атаки стали люди, а не код. Пока DeFi-протоколы проходят аудит только смарт-контрактов и игнорируют конфигурацию управления, подобные атаки будут повторяться.
— Артём Сафонов, аналитик угроз в AnonHaven
Синди Леоу (Cindy Leow) и Дэвид Лу (David Lu) основали Drift в 2021 году. До атаки на депозитах протокола хранилось более $400 млн. Drift обещал опубликовать дополнительные сведения после завершения независимого аудита инцидента.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
